Cyber Watch Report – Novembre 2019 : Ransomware à l’hôpital et cyberattaque contre l’EI

Ecrit par Guillaume Grabowski.

Ce mois-ci dans le Cyber Watch Report, une nouvelle attaque de ransomware a frappé de plein fouet un CHU de la ville Rouen, une fuite de données comprenant entre autres les identifiants utilisateurs chez Gekko Group, une filiale du groupe AccorHotels. Enfin, les autorités européennes ont lancé une cyberattaque d’envergure contre l’Etat Islamique (EI), afin de diminuer ses moyens de propagande.

Ransomware au CHU de Rouen

Le CHU de Rouen a subi mi-novembre une attaque informatique de type «rançongiciel ». Ce type d’attaque, de plus en plus fréquent, chiffre les documents sur les ordinateurs infectés. Les attaquants demandent alors en échange de la clé de déchiffrement une somme d’argent, souvent en Bitcoin pour rendre difficile leur identification. L’hypothèse pour le moment est que l’infection s’est faite par une pièce jointe dissimulée dans un mail.

Pour éviter la diffusion du virus, les ordinateurs de l’hôpital ont tous été arrêtés. L’hôpital est alors passé en mode dégradé. Papier et stylos ont été réutilisés le temps que le système soit remis en route. Pour les problèmes non vitaux, les patients ont été invités à se rendre dans les autres établissements hospitaliers de la métropole Rouen Normandie.

Selon « 76actu », une rançon de 300 000 euros a été demandé par les attaquants sous forme de bitcoin afin d’obtenir la clé de déchiffrement. L’hôpital a indiqué par voie de presse qu’il ne paierait pas la rançon.

Des experts de l’ANSSI sont arrivés sur place afin d’aider à relancer progressivement le système informatique de l’hôpital et commencer l’investigation.

À la suite de cette attaque, le parquet de Paris a ouvert une enquête pour des faits de piratage visant un système informatique de l’Etat en bande organisée, ainsi que pour extorsion et tentative d’extorsion en bande organisée.

Fuite de données chez une filiale d’AccorHotels

Une filiale du groupe AccorHotels, Gekko Group, plateforme professionnelle de réservation d’hôtels, a été victime d’une vaste fuite de données. Le butin ? Des identifiants et coordonnées bancaires. La CNIL (Commission Nationale informatique et libertés) a été saisie de l’incident.

Le ou les attaquants ont pu obtenir ces données en exploitant un serveur mal configuré où un port de connexion avait été laissé ouvert.

Les informations ayant fuitées concernent 130 000 à 140 000 voyageurs a indiqué à l’AFP une porte-parole de Gekko. « Nous avons pris connaissance de l’incident le 13 novembre » et la fuite a été colmatée « le même jour », a-t-elle ajouté, précisant que les personnes concernées ont été averties 3 jours après.

La firme de sécurité informatique vpnMentor qui a découvert la faille indique que plus d’un téraoctet de données a fuité. Parmi les informations qui ont fuité, on trouve des noms, adresses électroniques, identifiants utilisateurs mais aussi des détails sur des cartes de crédits utilisées. Le porte-parole de l’entreprise a indiqué que, pour le moment, aucun paiement frauduleux n’avait été constaté.

La Commission Nationale Informatique et Libertés a confirmé à l’AFP qu’elle avait reçu le 16 novembre de Gekko une « notification de violation de données personnelles ».

Le secteur hôtelier et ses réservations en ligne sont vulnérables aux fuites de données : en 2018, des cyberattaques ont touché Fastbooking, une filiale d’AccorHotels spécialisée dans les services numériques aux hôteliers, et le géant mondial de l’hôtellerie Marriott ayant pour conséquence la fuite de données clients.

L’Etat islamique visé par une cyberattaque

Une cyberattaque menée par l’Agence européenne Europol et la police fédérale belge entre le 21 et le 24 novembre a visé l’Amaq. Cette agence de presse est le principal outil de propagande du groupe Etat Islamique sur Internet. Durant cette opération, plusieurs milliers de comptes, de sites et de canaux de communication ont été neutralisés à l’échelle mondiale.

En effet, l’Etat Islamique utilise tous les moyens de communication à sa disposition pour son recrutement et sa propagande comme Facebook, Twitter ou Telegram. Cette attaque a d’ailleurs pu être réalisée avec notamment la coopération de Google, Twitter, Instagram et Telegram.

L’agence européenne Europol a indiqué lors d’une conférence de presse à son siège situé à La Haye (Pays-Bas) que l’opération a permis l’identification et la suppression de 26 000 comptes, sites ou canaux utilisés par l’EI. Parmi ces éléments se trouvaient des vidéos de propagande et des comptes sur les réseaux sociaux soutenant le terrorisme et les actions violentes.

Cette action a permis de porter un coup sévère à la propagande en ligne de l’Etat Islamique. M. Van Der Sypt, porte-parole du parquet fédéral belge, a affirmé qu’un « effort considérable » serait nécessaire de la part de l’Etat Islamique pour atteindre à nouveau le même niveau de présence en ligne.

En avril 2018, le parquet fédéral belge avait déjà été impliqué dans une cyberattaque sur Amaq, mais l’agence et les sites et comptes annexés avaient été réactivés peu de temps après.