Le 10 septembre, une femme qui avait un besoin critique de soin n'a pas pu être prise en charge à l'hôpital universitaire de Duesseldorf, en Allemagne. L'établissement subissait une attaque rançongiciel, et a redirigé la patiente vers un autre hôpital, à 30 kilomètres. Elle n'a pas survécu à ce délai supplémentaire de prise en charge.

C’est une triste première. Le 10 septembre, une cyberattaque a pour la première fois causé indirectement la mort d’une femme, a confirmé le BSI, l’une des plus hautes autorités  publiques de la cybersécurité allemande. La patiente devait être prise en charge aux urgences de l’hôpital universitaire de Düsseldorf, pour une raison non précisée par les autorités allemandes.

Problème : l’établissement était paralysé par un rançongiciel, un de ces malwares qui chiffre l’ensemble des systèmes informatiques. Plus de 30 serveurs internes étaient affectés. Les médecins ont donc redirigé l’ambulance vers Wuppertale, à plus de 30 kilomètres de Düsseldorf, ce qui a eu pour effet de décaler les soins d’une heure, et de sceller le décès de la patiente.

D’après les sites d’informations locaux, la police a ouvert une enquête pour déterminer le degré d’implication de la cyberattaque dans la mort de cette femme. Selon les conclusions de cette enquête préliminaire, la police allemande pourrait ouvrir une enquête pour homicide involontaire contre les cybercriminels.

Pour la première fois, une mort est attribuée à une cyberattaque. // Source : Louise Audry pour Numerama

Une cyberattaque peut empêcher certaines chirurgies

Ce n’est pas la première fois qu’un hôpital subit une cyberattaque, loin de là. Par exemple, en novembre 2019, un rançongiciel avait paralysé le CHU de Rouen pendant plusieurs jours. Les responsables de l’établissement avait alors expliqué qu’il n’y avait pas de mise en péril des personnes hospitalisées. Malgré un ralentissement évident du service, l’hôpital avait poursuivi une partie de son activité hors ligne, avec du papier et des crayons.

Sauf que ce fonctionnement « à l’ancienne » n’est pas valable dans toutes les situations. Certaines chirurgies mobilisent plusieurs appareils de précision, qui s’appuient sur différents types de logiciels, par exemple de visualisation. Toute une batterie d’outils de mesure offre aussi de précieux indicateurs aux équipes médicales.

Les rançongiciel peuvent paralyser des machines

Lorsque le rançongiciel se répand sur le réseau informatique, il ne fait que très peu de distinction dans les fichiers qu’il chiffre, et peut s’en prendre aux outils de soins. Si les machines ne sont plus capables de lire les données responsables de leur fonctionnement, elles passent hors service. Dès lors, certaines chirurgies de précision deviennent pratiquement impossibles.

C’est un point qu’il ne faut pas oublier lors d’une attaque rançongiciel : les ordinateurs et les boîtes mail sont loin d’être les seuls touchés. Le fonctionnement de toutes les machines connectées, du système de portique à badge aux machines utilisées pour les opérations, peut être affecté.

Les cybercriminels contrôlent mal leurs attaques

Toute considération humaine mise de côté, l’urgence générée par la cyberattaque pourrait être une aubaine pour les cybercriminels. Puisque la vie de certains patients est en jeu, les responsables du réseau informatique pourraient être plus disposés à payer la demande de rançon, de l’ordre de la centaine de milliers ou du million d’euros selon la taille de l’organisation. En échange du paiement, les rançonneurs promettent d’offrir la clé de déchiffrement, qui permet de restituer les données telles qu’elles étaient avant l’attaque.

Sans cette clé, le processus de restauration du système s’avère long et laborieux, et peut causer d’importants ralentissements de l’activité. C’est pourquoi de nombreuses victimes décident de payer, malgré les nombreuses conséquences néfastes connues que l’opération implique.

Les criminels ont annulé leur attaque

Sauf que ce n’était pas le raisonnement des opérateurs de la cyberattaque de Düsseldorf. D’après le site d’information allemand RTL, les malfaiteurs ont rapidement retiré leur demande de rançon. La police allemande les a contacté sur l’adresse indiquée dans leur note de rançon, et leur a indiqué que leur victime était un hôpital. Dans la foulée, l’établissement a reçu la clé de déchiffrement et restauré ses systèmes.

D’après l’Associated Press, les cybercriminels pensaient avoir touché l’université (le Duesseldorf Heinrich Heine University), et non l’hôpital qui lui est attaché. Pendant le pic de l’épidémie de coronavirus, plusieurs opérateurs de rançongiciel avaient promis qu’ils ne cibleraient pas les établissements de santé. Ils ajoutaient que s’ils les touchaient par erreur, ils fourniraient la clé de déchiffrement gratuitement. Cette promesse a depuis été brisée maintes fois…

Comme souvent, la cyberattaque a exploité une vulnérabilité connue

D’après le BSI, les malfaiteurs ont exploité une vulnérabilité des produits VPN de Citrix découverte fin 2019, connue sous le nom CVE-2019-19871. La faille permet à des utilisateurs extérieurs d’exécuter du code de leur choix. Le tout, sans avoir besoin de s’identifier. Ils peuvent notamment lancer un cryptolocker, la partie du rançongiciel en charge du chiffrement des données.

Des patchs existent depuis janvier 2020 pour cette vulnérabilité, et quelques semaines avant l’attaque, le BSI avaient lancé une alerte, incitant les organisations clientes de Citrix à déployer ces réparations. Soit les responsables du système informatique de l’hôpital n’avaient pas suivi ces recommandations… soit les pirates avaient déjà profité de la faille pour compromettre les systèmes, avant le déploiement.

Dans tous les cas, le BSI conclut que les hôpitaux doivent prendre la cybersécurité plus au sérieux. « C‘est l’une des raisons pour lesquelles le gouvernement allemand a stipulé dans le projet de loi sur l’avenir des hôpitaux qu’au moins 15 % des fonds demandés doivent être utilisés pour des mesures visant à améliorer la sécurité de l’information », écrit Arne Schönbohm, le président du BSI. Un constat valable en Allemagne, mais aussi en France.

Partager sur les réseaux sociaux