Cyberattaque au CHU de Rouen : Les hackers avaient déjà visé d’autres hôpitaux sans succès

PIRATAGE Les cybercriminels auteur de l’attaque au CHU de Rouen avaient déjà ciblé « plusieurs entités publiques et privées », ont indiqué les autorités

20 Minutes avec agences

— 

Des lits dans un hôpital (illustration).
Des lits dans un hôpital (illustration). — Pexels

Le groupe de pirates informatiques, qui a gravement perturbé le fonctionnement du CHU de Rouen avec un rançongiciel le week-end du 16 et 17 novembre, n’en était pas à son coup d’essai. Il a tenté de s’en prendre sans succès à plusieurs autres hôpitaux, a indiqué ce jeudi le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi).

« L’attaquant est actif, il cherche en France » et a déjà pris pour cible « plusieurs entités publiques et privées », et en particulier des hôpitaux qui ont repoussé les attaques, a expliqué Guillaume Poupard en marge d’une réunion à Paris consacrée au projet de cyber-campus français. « Le secteur de la santé globalement intéresse l’attaquant », a-t-il ajouté.

50 cyber-pompiers mobilisés

Dans ce type d’attaque, les pirates s’introduisent dans le système informatique de la victime puis chiffrent ses fichiers pour les rendre inopérants, exigeant une rançon pour les débloquer. « Pendant le week-end, l’hôpital n’a traité que les urgences vitales, tout le reste a été reporté ou externalisé », a souligné M. Poupard.

L’Anssi a dépêché une petite équipe à Rouen dès l’alerte donnée, tandis que d’autres techniciens et ingénieurs étaient mobilisés à Paris. Au total, 25 cyber-pompiers de l’Anssi ont été mobilisés le samedi, puis 25 personnes supplémentaires le lendemain, a précisé le directeur.

Leur travail était à la fois de « faire de la remédiation », c’est-à-dire de remettre en marche les équipements bloqués, et de « sauvegarder un maximum de traces pour être capable de mener à bien l’enquête après ».

Un groupe de cybercriminels actif depuis 2014

L’Anssi estime que l’attaque a été menée par un groupe d’attaquants identifié sous le nom de TA505, qui utilise un rançongiciel baptisé Clop. Selon un annuaire de la menace informatique compilé par le groupe Thales (Thales Threat Handbook), TA505 est un groupe de cybercriminels actif depuis 2014.

Son origine géographique n’est pas identifiée, mais le groupe « semble parler le russe », selon ce document. Le parquet de Paris a ouvert une enquête sur l’attaque informatique contre le CHU de Rouen, notamment pour « extorsion et tentative d’extorsion en bande organisée ».