Dans un rapport publié le 22 février, la start-up cyber française CybelAngel dévoile des exemples de trafic de données hospitalières sur le darknet, avec notamment un fichier de 500.000 patients français mis à disposition. Plongée dans le supermarché underground des données de santé.
Sale temps pour les hôpitaux français. Déjà mis à rude épreuve par la pandémie de Covid-19, les établissements de santé doivent faire face à une vague inédite de cyberattaques, dont ont notamment été victimes les hôpitaux de Dax et Villefranche-sur-Saône. Depuis le début de la crise sanitaire, les attaques auraient augmenté de 500%, avec 27 attaques en 2020 et une par semaine depuis le début de l’année 2021. Le système de santé français serait-il une cible prioritaire des attaques cyber? Un rapport de la start-up française CybelAngel, spécialisée dans la recherche de documents volés sur le darkweb, met en tout cas en évidence un intérêt marqué des cybercriminels pour les données de santé françaises. « Les analystes de CybelAngel (…) notent une recrudescence de la recherche et de la vente de données hospitalières sur le darkweb, ce qui démontre un intérêt des acteurs malveillants pour le secteur », indique le rapport.
Le document donne trois exemples précis. Le premier est issu d’un forum cybercriminel anglophone, connu pour le partage de bases de données volées. Un certain “D***1” indique le 31 janvier dernier chercher des « bases de données françaises de 2020 ». « Les données de santé sont celles que je préfère », précise-t-il. Le profil de l’individu étonne les analystes de CybelAngel: « L’acteur D***1 a créé son compte en octobre 2020 et n’a publié qu’un seul message, écrivent-ils. Ce comportement est peu habituel, car les acteurs ont tendance à publier de nombreux messages avant ce type de demandes, ce qui contribue à leur réputation. » Pour compenser son manque d’activité, l’individu a d’ailleurs acheté un compte VIP, payant, sur le forum.
Comment expliquer ce comportement? « Les cybercriminels se savent surveillés sur les forums, explique à Challenges David Sygula, analyste cybersécurité chez CybelAngel. Une explication possible est que, derrière cet acteur, se cache un groupe de cybercriminels actifs connu qui se servirait d’un profil neuf afin de tromper les chercheurs en cybersécurité. » Le message ne reste en tout cas pas sans réponse: le 1er février, un membre du forum propose ses services, suggérant même d’envoyer des échantillons de bases de données avant transaction.
500.000 données en accès libre
Deuxième exemple: le 4 février 2021, un certain « N***S » publie une annonce sur un forum pour la vente d’une « base de données d’une entreprise qui travaille avec beaucoup (si ce n’est tous) d’hôpitaux français ». Cette base de données intègre 50.000 adresses emails d’employés, incluant mots de passe et numéros de téléphone. Les analystes de CyberAngel trouvent un individu au pseudo similaire « sur deux forums cybercriminels russes », dont un réputé et d’accès restreint, et un autre forum français. Signature de cybercriminels russes? Possible. Bien qu’assez discret, l’individu a en tout cas laissé d’autres traces sur le darkweb. Il s’est notamment montré intéressé par l’achat d’une version pirate du logiciel de recherche de vulnérabilités web Acunetix, souvent utilisé par les acteurs malveillants en amont d’une attaque.
Annonce de vente d’un fichier de 50.000 données personnelles sur le darkweb (photo CybelAngel)
Le troisième exemple est le plus impressionnant. Le 12 février, « m***a « , un membre d’un forum cybercriminel connu, met à disposition une base de données de “500.000 données hospitalières françaises”. Le contenu fait froid dans le dos. Le document inclut, indique CybelAngel, « nom, prénom, adresse email, numéro de téléphone et données de santé de patients (numéro de sécurité sociale, groupe sanguin, médecin traitant, etc) », et même certains examens médicaux effectués. Le fichier est repris sur d’autres sites quelques heures plus tard, dont un forum russophone. Fait étonnant, le document est proposé gratuitement, alors qu’il pourrait rapporter plusieurs milliers d’euros.
La suite des échanges sur le fameux forum, consultés par Challenges, donne la raison cette étonnante générosité. Le fameux « m***a » semble avoir pris ombrage du fait que ces données, vendues à des clients, aient été remises sur le marché par ces derniers. Pour les punir, il a décidé d’offrir gratuitement le fichier à la communauté. « Le partage continuera tant que certains revendront ce qu’ils m’ont acheté », écrit-il.
Demande grandissante
Dans ce cas comme dans les autres, CybelAngel saisit systématiquement l’ANSSI, le gendarme français du cyber, et la police, dès que des données volées sont repérées. Dans un rapport publié mi-décembre, la pépite française avait déjà annoncé la découverte de 45 millions de fichiers d’imagerie médicale, dont des radios, sur 2.140 serveurs non protégés dans 67 pays, dont les États-Unis, le Royaume-Uni, la France et l’Allemagne. © Fournis par Challenges
Annonce publiée le 10 février 2021 sur un forum russophone: “Je recherche bases de données personnelles France, si ça me convient je paie” (photo CybelAngel)
Les différents fichiers échangés sur le darkweb pourraient-ils provenir des attaques contre les hôpitaux de Rouen (2019), Dax ou Villefranche-sur-Saône? « II est difficile d’établir un lien direct entre leur exposition et les attaques de ransomware visant les hôpitaux, dont le modus operandi passe plutôt par l’intrusion pirate dans un réseau », estime CybelAngel. David Sygula n’exclut cependant pas que certains fichiers mis en vente aient été récupérés lors d’attaques contre des hôpitaux ou des mutuelles, comme la Mutuelle nationale des hospitaliers (MNH), objet d’une cyberattaque début février.
En tout cas, « il est clair que les cybercriminels se démènent pour fournir ces données face à une demande grandissante », conclut le rapport de CyberAngel. Dans le cadre du plan cyber d’un milliard d’euros présenté le 18 février, Emmanuel Macron a annoncé une enveloppe de 136 millions d’euros pour muscler la protection cyber des acteurs publics, dont les hôpitaux. Vu l’état de la menace, cet argent frais ne sera pas de trop.
Vincent Lamigeon