Faites vos jeux, rien ne va plus

Tandis que tous ne pensaient qu’à célébrer la fête d’Halloween, les attaques par ransomware firent figure d’épouvante sur plusieurs continents. Les 37 000 étudiants et 4 000 professeurs de l’université autonome de Barcelone (UAB) ne pouvaient imaginer être contaminés par un autre virus que le SARS-CoV-2… ce fut le cas avec le PYSA (Protect your system amigo), mais également des écoles américaines, des cliniques et hôpitaux à travers le monde, les transports de la communauté de Toronto, Solware qui partage son expérience pour prévenir, ainsi que la toute puissante NRA.

Depuis le 11 octobre 2021, rien ne va plus dans la capitale catalane, de nombreux élèves de l’UAB sont privés de leurs courriers électroniques universitaires, de WiFi, de base de données… Les professionnels reconnaissaient déjà qu’il faudrait « des heures, des jours ou des semaines » pour que la normalité soit rétablie. Ce qui n’est toujours pas le cas, qui plus est, les discours n’évoquent plus de « jours ou peut-être de semaines », mais des mois, peut-être décembre ou janvier 2022. Dès le 15 octobre 2021, les équipes examinent, et vérifient, un par un, l’état de plus de 10 000 systèmes informatiques des différents bâtiments et facultés pour voir s’ils étaient endommagés, sur la base d’un test effectué avec une clé USB qui contient un kit de diagnostic, relate le 20 minutes espagnol.

Les responsables de l’établissement nient avoir été en relation avec les cybercriminels concernant une rançon. Si des professionnels invités dans l’émission « Els Matins » de TV3 parlaient de trois millions d’euros, le recteur de l’UAB, Javier Lafuente, dément être prêt à payer cette somme ou toute autre, affirme The News Trace.

Près de 1000 écoles américaines attaquées en 2021

Outre-Atlantique, le district scolaire de Janesville (Wisconsin) a subi une attaque par code malveillant de type ransomware durant le week-end du 23-24 octobre. Ce qui a eu pour conséquence de bloquer l’accès des élèves, du personnel et des parents à plusieurs systèmes et programmes en ligne (Infinite Campus, Classlink, manuels et ressources). L’équipe informatique a contacté la Division of Enterprise Technology Cyber Response Team de l’État, le FBI et le ministère américain de la Sécurité intérieure. Cette mésaventure n’est que la dernière en date d’un nombre croissant d’attaques par ransomware contre des administrations municipales et des écoles. En août 2021, 58 avaient touché autant de districts scolaires et organisations éducatives dans tout le pays, dont 830 écoles individuelles. « Il y a eu 84 incidents en 2020 », indique WPR. Brett Callow, chercheur chez Emsisoft, a partagé la liste avec Motherboard, elle comprend 73 districts scolaires, soit 985 établissements d’enseignement.

« 2021 : l’année des ransomwares » pourrait être le titre d’une œuvre cinématographique. La réalité dépasse souvent la fiction. Certaines attaques ont fait couler beaucoup d’encre aux États-Unis : Colonial Pipeline ou le fournisseur de viande JBS. Ainsi que le « Colegio medico de Chile » en septembre 2021, révélé un mois plus tard. Un peu plus au nord, le Canada n’est pas mieux loti. La ville de Clarence-Rockland subissait lundi 25 octobre une infection des systèmes d’information. Une semaine plus tôt, c’est l’hôpital du district de Kemptville qui signalait un « incident de cybersécurité », comme la Société de transport de l’Outaouais (STO) début septembre. « La situation à laquelle nous nous habituons de plus en plus, c’est que les cybercriminels balayent Internet complètement, de part en part, et cherchent des systèmes vulnérables », explique Steve Waterhouse, chargé de cours en sécurité de l’information à l’Université de Sherbrooke et ancien agent de sécurité des systèmes d’information au ministère de la Défense nationale canadien.

Des données de santé dans la nature

Pléthores d’hôpitaux, de cliniques sur les cinq continents ont été ciblés par les attaques, mais dans quel but ? La raison semble toute trouvée, au vu des nouvelles disséminées ici et là, l’argent. Pendant que la planète se suspend à quelque chose d’invisible à l’œil nu, de l’ordre d’un diamètre de 50 à 140 nanomètres (le cheveu mesure entre 50 et 100 micromètres, mille fois plus grand). Donc, les forces de défense sont dirigées vers le SARS-CoV-2, tandis que celle des systèmes d’information et outils informatiques de plus en plus prégnants dans nos sociétés est délaissée, depuis bien longtemps. Le tout, en espérant naïvement que les criminels adoptent une éthique quant aux cibles si sensibles. Souvent les attaques se soldent par une demande de rançon, les communiquées de presse ne spécifient, que peu ou prou, cette information. Il y a deux jours, le 2 novembre 2021, le plus grand centre de cancérologie de Las Vegas indiquait avoir subi une infection par ransomware, lors du « Labor Day » au mois de septembre. Le centre affirme que les données des patients ont pu être compromises. Les pirates ont pu obtenir les noms, adresses, dates de naissance et numéros de sécurité sociale des patients dans les dossiers médicaux. Le centre informe actuellement les patients actuels et anciens concernés.

Les grands groupes criminels ont fait un communiqué de presse, au début de la crise, pour dire que, temporairement, ils suspendaient les attaques contre les hôpitaux

Guillaume poupard. Public Sénat. 4 Novembre 2020

La fuite de 500 000 dossiers de patients en Bretagne, l’hôpital d’Arles, en France pour ne citer qu’eux, en Belgique la clinique située à Bouge, le groupe de cliniques privées Pallas infectées en août 2021. Outre-Atlantique, des experts sont préoccupés par l’étendue des dommages causés aux banques de données du système de santé de Terre-Neuve-et-Labrador, à la suite d’une cyberattaque détectée en fin de semaine dernière. « Lorsqu’une attaque par ransomware se produit, tous les services sont arrêtés dans un hôpital. Les médecins, les infirmières, ils n’ont pas accès aux dossiers et ne peuvent donc pas fournir des soins efficaces aux patients », a déclaré Ed Gaudet, PDG de Ciensient à CBS News. Comme en France, les infections par ransomware procurent des effets négatifs à long terme sur les hôpitaux, selon une nouvelle analyse menée par la Cybersecurity and Infrastructure Security Agency (CISA) « Les effets en aval comprennent l’annulation ou le report d’opérations chirurgicales et de traitements contre le cancer, la fermeture de plusieurs sites de collecte de tests COVID-19, l’incapacité de soumettre des images radiologiques et la perte de communication entre les hôpitaux du réseau ». Cela ajoute des complications supplémentaires lorsque des lits sont à 80 % occupés, et que les établissements, de l’hexagone, sont obligés de déprogrammer des opérations de toutes sortes.

Au début du mois d’octobre, UMass Memorial Health, un système de soins de santé situé à Worchester, dans le Massachusetts, prévenait 209 048 patients que leurs informations privées avaient pu être compromises. « Le 25 août 2021, nous avons terminé le processus d’identification des personnes dont les informations étaient contenues dans les comptes. Pour les patients, les informations concernées comprenaient les noms, les dates de naissance, les numéros de dossier médical, les informations sur l’assurance maladie et les informations cliniques ou de traitement, telles que les dates de service, les noms des prestataires, les diagnostics, les informations sur les procédures et/ou les informations sur les prescriptions. Pour les participants à un régime de santé, les informations concernées comprenaient les noms, les numéros d’identification des souscripteurs et les informations relatives au choix des prestations. Pour certaines personnes, un numéro de sécurité sociale et/ou un numéro de permis de conduire étaient également concernés », stipule le communiqué en date du 25 août 2021.

Purement financier

La cyberattaque contre l’hôpital Hillel Yaffe de Hadera est purement financière, évoque le responsable de la cybersécurité au sein du ministère de la Santé, Reuven Eliyahu. « C’est probablement un groupe de hackers chinois qui s’est séparé d’un autre et qui a commencé à travailler au mois d’août », explique-t-il dans un entretien accordé à la radio militaire.

Les opérateurs derrière les offensives par ransomware stoppent les systèmes — empêchant l’accès aux dossiers des patients, la transmission des images radiologiques et d’autres fonctions qui augmentent le risque pour eux — jusqu’à ce qu’une somme soit payée. Les pirates russophones à l’origine de cette vaste campagne de piratage (FIN12) vérifieraient les comptes bancaires avant de sélectionner leurs victimes, exigeant des rançons qui peuvent se chiffrer à plusieurs millions de dollars.

70 % des entreprises payent la rançon

La dernière entreprise attaquée est l’agence de transport en commun connue sous le nom de TTC (Toronto Transit Commission). Elle exploite les services d’autobus, métro, tramway et de transport adapté dans la capitale de l’Ontario. « L’étendue complète de l’attaque est en cours d’examen et la TTC travaille avec des experts des forces de l’ordre et de la cybersécurité sur la question », a déclaré Stuart Green, un porte-parole de la compagnie. L’entreprise fournit un service de transport en commun jusqu’à 1,7 million de personnes par jour. « Selon une nouvelle étude près de 70 %, des organisations canadiennes qui ont été victimes d’une attaque par ransomware l’an dernier ont payé les rançons demandées pour éviter les temps d’arrêt, les atteintes à la réputation et d’autres coûts », selon la chaîne CTV News.

Du 29 avril au 12 mai 2021, Colonial Pipeline était à l’arrêt total. La panne a entraîné de longues files d’attente dans les stations-service, dont beaucoup étaient à sec, et une hausse des prix du carburant. Car la société transporte environ 2,5 millions de barils de carburant de la côte du Golfe du Mexique à la côte Est. Colonial a payé aux pirates, qui étaient affiliés à un groupe de cybercriminels lié à la Russie et connu sous le nom de DarkSide, une rançon de 4,4 millions de dollars peu après le piratage. Les pirates avaient également volé près de 100 gigaoctets de données de Colonial Pipeline et avaient menacé de les divulguer si la rançon n’était pas payée.

Le groupe français Avril a été victime d’une cyberattaque mercredi 3 novembre 2021. C’est un groupe agro-industriel international d’origine française spécialisé dans l’alimentation humaine, l’alimentation animale, l’énergie et la chimie renouvelable. Toutes les mesures nécessaires à la protection des systèmes d’information ont immédiatement été mises en place dans l’ensemble du Groupe, comme la coupure de son réseau IT. Avril confirme que « certains sièges et site du groupe fonctionnent en mode dégradé » et indique « mettre tout en œuvre pour continuer ses activités et servir ses clients ».

Attaque ton ennemi quand il n’est pas préparé, apparais quand tu n’es pas attendu

Sun Tzu

Qu’en sera-t-il pour le lobbying extrêmement puissant et source de conflit, qu’est la NRA (National Rifle Association) ? « La NRA ne discute pas des questions relatives à sa sécurité physique ou électronique. Cependant, la NRA prend des mesures extraordinaires pour protéger les informations concernant ses membres, ses donateurs et ses opérations – et elle est vigilante à cet égard », a écrit Andrew Arulanandam, directeur général des affaires publiques de la NRA. Les experts en cybersécurité sont convaincus que « Grief est une initiative d’un groupe de cybercriminels russes qui utilisait auparavant le pseudonyme Evil Corp », actuellement sous le coup de sanctions de la part du département du Trésor américain, explique NBC News. Le constat semble amer, quel que soit l’endroit sur le globe. « Dans le cyberespace, la bataille est un marathon ; c’est une guerre continue. C’est la Troisième guerre mondiale. C’est un champ de bataille où se trouvent des milliards de combattants », évoque dramatiquement Reuven Eliyahu.

Échanger pour mieux se protéger

Solware Auto est depuis près de 35 ans au cœur du monde de l’automobile et de ses évolutions, car il est un logiciel de gestion et facturation qui est au cœur de nombreux garages. Le 12 août 2021, les équipes de Solware découvrent que leurs serveurs ont été chiffrés par le ransomware Conti. L’attaque a supprimé des données de sauvegarde et le chiffrement de données de production. « Cet incident a eu notamment pour conséquence de perturber l’accès à plusieurs applications hébergées, affectant ainsi de nombreux clients usagers du DMS winmotor2 », relate Le Journal de l’Automobile. « Face au fléau de la cybercriminalité et les attaques par ransomware, nous avons absolument besoin d’une immunité collective ! C’est la raison pour laquelle j’ai décidé de partager ma malheureuse expérience et de rompre la loi du silence qui prévaut en ces circonstances, y compris et surtout avec nos confrères et concurrents du marché du DMS automobile, dont certains avec lesquels j’ai déjà échangé », annonce Gérald Ferraro.