Cyberattaque au CHU de Rennes : le mot de passe n’avait pas été changé
Depuis la cyberattaque dont a été victime le Centre hospitalier universitaire (CHU) de Rennes , mercredi 21 juin, les experts en cybersécurité affectés à l’hôpital se sont affairés à déterminer précisément l’origine et l’ampleur des dégâts. Si l’origine du ou des attaquants demeure inconnue, la méthode est désormais mieux identifiée.
Les hackers se sont introduits dans le système du plus grand centre hospitalier breton en passant par un compte VPN d’accès à distance que l’établissement met à disposition d’un prestataire. Celui-ci est un fournisseur français de logiciels médicaux bien implanté qui se sert de cet accès pour des opérations de mise à jour et de maintenance, comme l’avait révélé LeMagIT vendredi dernier.
Le compte n’était pas protégé par une authentification à facteurs multiples. Contacté par Le Mensuel de Rennes , le prestataire explique que son mot de passe « n’avait pas été changé depuis longtemps » par le CHU. « On se sert toujours du même compte », explique-t-il, ajoutant que son logiciel « en lui-même n’est pas en cause » et que sa société « n’a rien à se reprocher ». Pour l’heure, rien ne permet d’affirmer que ce prestataire lui-même a été victime d’une intrusion, ni que la responsabilité incombe au CHU. L’hôpital n’a pas souhaité répondre à nos questions.
À lire sur le sujet Cyberattaque au CHU de Rennes : « Il y a eu une fuite de données »
« On pourrait penser que le CHU aurait imposé à son prestataire une authentification à facteur multiple », remarque toutefois Valery Rieß-Marchive, journaliste spécialiste en cybersécurité et rédacteur en chef chez LeMagIT. « Cela dit, même cette mesure de sécurité supplémentaire n’a pas empêché des entreprises de renom de se faire avoir. »
Selon lui, il sera « très difficile » d’établir « comment ce compte a été volé à l’origine ». Par ailleurs, le journaliste fait remarquer que « changer un mot de passe trop souvent, c’est une contrainte. Si on n’est pas aidé d’un logiciel gestionnaire de mots de passe, on peut être tenté d’utiliser des codes simples, faciles à se rappeler, et donc faciles à deviner. »
Accès volé ?
Un des nombreux scénarios possibles est que l’accès ait été volé dans le navigateur web, puis revendu à des attaquants sur des canaux Telegram spécialisés, selon une méthode classique des cybercriminels. Les hôpitaux, riches en données de santé privées, constituent une cible de choix. « Empêcher toute cyberattaque est impossible, prévient Yves Duchesne, ingénieur en sécurité des systèmes d‘information chez Acceis à Rennes. Il faut se préparer au mieux et savoir limiter les dégâts. »
Le CHU est « monitoré » par le centre de surveillance d’Orange Cyberdefense. « Ils analysent tout ce qui se passe sur le réseau, décrit-il. Les connexions, les déconnexions, les partages, les accès aux applications et les volumes de données qui transitent. Un comportement inhabituel déclenche une alerte. S’ils voient, par exemple, que le compte VPN dédié à un prestataire, qui n’envoie que quelques mégaoctets de mise à jour d’habitude, se met soudain à télécharger plusieurs gigaoctets à la seconde vers l’étranger… Forcément, ça inquiète. »
À lire sur le sujet Rennes, Brest… Pourquoi les hôpitaux sont la cible de cyberattaques
Les données ne refont pas surface
Le 21 juin, la réponse à l’alerte a été rapide : le système informatique de l’hôpital a été immédiatement isolé. 140 applications ont été « gelées » et passées au crible, les téléconsultations stoppées, le paiement par carte mis en pause. Le portail patient et le site Internet de l’hôpital ont aussi été rendus indisponibles, la messagerie interne perturbée. « C’est un hôpital relativement bien préparé. Leur surveillance en amont leur a permis de réagir alors que l’attaque était à un état précoce. Il y a quelques années, la cybersécurité n’était pas un sujet identifié dans les hôpitaux. »
Source: Le Télégramme
