Publié le 22 février 2021 à 13h05

Un cybercriminel vend des identifiants d’employés d’hôpitaux français

Temps de lecture : 3 min

Nouvelle alerte pour les hôpitaux français, cette fois lancée par le site de veille du ministère de la Santé le 18 février 2021. Le Cert (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) les a avertis de la vente d’une base de données sur un forum cybercriminel. Le malfrat l’a publiée le 4 février sous le nom « FR medecine related database ». À l’intérieur se trouverait, d’après le vendeur, une liste de mots de passe et d’adresses email de « 50 000 comptes utilisateurs ». Le ministère de la Santé précise qu’ils appartiennent « vraisemblablement à des agents de centres hospitaliers ».

Les hôpitaux, cibles vulnérables des cybercriminels. // Source : CCO/Pxhere

De son côté, le blogueur Damien Bancal explique sur Zataz que le cybercriminel lui a fourni des preuves du contenu de la base. Il a obtenu des emails liés à près d’une dizaine de centres hospitaliers, dont ceux de Lyon, Bordeaux, ou encore Besançon. Quel est le prix demandé par le malfaiteur pour se procurer la base ? 1 000 dollars. Un montant justifié par la possibilité d’utiliser ces identifiants pour mettre en place des attaques rançongiciels lucratives. Comme l’explique le ministère de la Santé, les acheteurs de la base pourraient utiliser ces informations pour essayer de se connecter aux VPN des hôpitaux ou à d’autres espaces en ligne comme les comptes Outlook et Gmail. Leur objectif final : rentrer sur le réseau informatique, et y déployer leurs logiciels malveillants.

Cette base de données a-t-elle vraiment de la valeur ?

Si cette mise en vente appelle à la mise en place de mesures de prévention dans les établissements concernés, difficile de savoir quelle est la valeur réelle de la base sans se la procurer. Contient-elle bien 50 000 lignes d’identifiants comme l’affirme le vendeur ? Ces identifiants sont-ils exploitables ? Pour rappel, dans ce genre de liste, le mot de passe associé à l’email est celui que la personne concernée a utilisé pour un de ses nombreux comptes en ligne (on ignore lesquels, cela peut aller d’un forum de jeu à un site de rencontre, par exemple), et non celui de l’email. Si la victime ne réutilise pas le mot de passe fuité pour se connecter à ses outils professionnels, la liste n’aura aucune utilité.

Ensuite, l’intérêt de la base varie si les données sont nouvelles ou déjà connues. Si la liste des identifiants d’agents hospitaliers contient des informations qui ont déjà fuité au préalable, le risque qu’elle représente sera amoindri. À titre de comparaison, l’an dernier, une source a communiqué à Cyberguerre une liste avec des mots de passe liés à des adresses gouvernementales (en « gouv.fr »). Cette base était un agrégat de plusieurs morceaux de fuites de données connues, comme la fameuse « Collections #1 ». Elle est dangereuse, car elle permet de cibler un secteur particulier, mais le Cert français avait déjà pris connaissance de son contenu, et averti les administrations concernées pour que les mots de passe compromis soient changés.

Les hôpitaux français déjà en alerte

Reste que même si les mots de passe de la base ne sont pas exploitables, rien que la liste des emails a de l’intérêt pour les malfrats. Elle permettrait à un cybercriminel de faire un ciblage précis, et de lancer un phishing taillé sur mesure pour piéger les personnels de santé.

Depuis le début de l’année 2021, les autorités doivent intervenir chaque semaine au chevet d’un hôpital français victime de rançongiciel différent. La médiatisation autour des deux dernières victimes, les centres hospitaliers de Dax et Villefranche-sur-Saône, ont poussé le président Macron a annoncer une série de mesures destinées à mieux défendre les établissements de santé. Ces mesures viennent en complément d’un plan d’investissement à l’échelle nationale, dont une petite partie est allouée au développement de l’Anssi, l’agence française en première ligne de la réponse à ces attaques.

Les hôpitaux sont des cibles intéressantes : ils paient la rançon dans plus de 80% des cas d’après un criminel. En France, l’Anssi pousse les victimes à ne jamais payer, mais la paralysie des services informatiques engendrée par le rançongiciel peut forcer les dirigeants à changer d’avis : parfois ce ne sont plus simplement des données, mais bien les vies des patients qui sont en jeu.

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !

Crédit photo de la une : Louise Audry pour Numerama

Signaler une erreur dans le texte

Partager l'article

Sur le même thème

Rejoignez la révolution voiture électrique avec la newsletter Watt Else par Numerama !

Des pirates tentent de faire chanter Reddit en plein bras de fer avec les internautes

Mikhail Matveev est recherché par le FBI pour avoir mené de nombreuses cyberattaques. // Source : Numerama / FBI

On connait le visage d’un célèbre hacker russe recherché par le FBI

COVER – Chine et semi-conducteurs – SMIC 7nm Mate 60 Pro v2

Puce gravée en 7 nm : entre fantasmes et réalités, de quoi la Chine est vraiment capable ?

2023 a eu droit à son lot de cyberattaque contre les services publics. // Source : Numerama

Cyberattaque : la carte des villes, départements et hôpitaux victimes des hackers en 2023

Des smartphones en l'air lors d'une manifestation. // Source : Numerama, avec Midjourney

Les décisions d’Elon Musk ont amplifié la désinformation sur Israël et Gaza

Les derniers articles cyberguerre

Le renseignement russe a développé de nouveaux logiciels. // Source : Numerama avec midjourney

cyberguerre géopolitique

« Kapeka », un nouveau logiciel malveillant du renseignement russe, a été repéré

17.04.2024 13:07

Un programme venu d'Europe

Les sociétés de logiciel espion travaillent sur des programmes de pubs malveillantes. // Source : Numerama avec midjourney

Cliquer sur une pub en ligne pourrait installer un logiciel espion sur votre smartphone

16.04.2024 11:55

Des données étaient laissées sans protection sur le site de Bouygues Telecom. // Source : Pixabay / typographyimages

tech smartphone apple iphone

Voici le message que vous recevrez si votre iPhone est infecté par un logiciel espion

12.04.2024 10:17

Le Parc des Princes, le stade du PSG. // Source : Numerama

cyberguerre cybercriminalité

La billetterie du PSG a été piratée

09.04.2024 17:45

Le message des hackers turcs laissé sur le site du CERC // Source : Capture d'écran Numerama

cyberguerre cybercriminalité

Qui sont les hackers turcs responsables du piratage d’un site gouvernemental français ?

08.04.2024 17:34

Les hackers vont fouiller dans l'organisation de l'entreprise pour piéger de employés précis. // Source : Numerama avec Midjourney

cyberguerre cybercriminalité

Qui est la cible favorite des hackers parmi vos collègues

07.04.2024 12:59

Des hackers pro-russes ont ciblé les ministères. // Source : Numerama avec Midjourney

cyberguerre hygiène numérique phishing

Les hackers du Kremlin envoient une fausse invitation à diner à la sphère politique allemande

05.04.2024 19:20

Google Chrome est victime de nombreux vol de cookie d'authentification. // Source : deepanker70

cyberguerre hygiène numérique

Google veut mettre fin au vol de cookie sur Chrome avec une nouvelle fonctionnalité

03.04.2024 13:32

Les passkeys sont dans l'app

Keeper déploie enfin le nécessaire pour en finir avec les mots de passe sur smartphone

03.04.2024 08:33

tech informatique logiciels

« Construire un datacenter vertueux, ça ne coûte pas plus cher » : comment Infomaniak fait mieux que les géants du web

30.03.2024 08:01