Une cyberattaque paralyse le système de santé publique irlandais

Dans la nuit du 14 Mai 2020, le Health Service Executive (HSE), l’organisation publique de la santé en Irlande a subi une attaque informatique de grande ampleur. Plus de 40 établissements de santé irlandais, dont une majorité d'hôpitaux, ont été impactés.

Cette attaque a été découverte par un employé. Alors que son ordinateur ne fonctionnait pas correctement, la personne a reçu sur son poste de travail une invitation à demander de l’aide au travers d’un message. Après être entré en contact avec un interlocuteur qui se révèle être un groupe de pirate. Ces derniers informent l'employé qu'ils ont exfiltré 700 gigaoctets de données contenant les adresses des patients ainsi que d'autres données à caractère personnel appartenant à HSE. En parallèle, un chiffrement a été opéré sur un grand nombre de machines. Afin de prévenir l’infection de l’entièreté de son parc informatique, HSE a dû éteindre et/ou déconnecter le reste des ordinateurs qui n’avait pas encore été verrouillés.

Les pirates ont demandé au HSE une rançon de 20 millions de dollars.  Ils ont également donné des exemples du type de fichier qu'ils avaient téléchargé et auraient ensuite menacé de commencer à vendre les données des patients si la rançon n'était pas payée.

La présidente du HSE a déclaré que le rançongiciel à l'œuvre serait un nouveau variant du maliciel Conti.

Dans les jours précédant la publication de ce bulletin, plusieurs rapports auraient affirmé que le groupe Spider Wizard, composé de plusieurs dizaines de personnes potentiellement réparties sur plusieurs sites, était responsable du piratage. L’enquête pour attester de l’identité des coupables reste en cours.

Par ailleurs, le 16 mai, le ministère de la santé irlandais a annoncé avoir subi une cyberattaque la semaine précédente. Les méthodes employées présentent plusieurs similarités avec l’attaque dont HSE a été victime. Le même jour, le département de la protection sociale irlandais a également annoncé avoir essuyé une sévère tentative de cyberattaque néanmoins aucune compromission n’a été attestée.

Le 20 Mai, une semaine après la découverte de l’attaque, une clé de déchiffrement a été donnée de la part des attaquants au HSE. Cela peut s’expliquer par le fait que la demande de rançon porte sur la menace de divulgation des données volées plus que sur l’indisponibilité prolongée du SI de la structure. Le HSE peut cependant aussi utiliser un logiciel de déchiffrement fourni par l’entreprise de cybersécurité Emisoft. Ce logiciel a démontré être fonctionnel et Emisoft assure la gratuité de son service pour les établissements de santé.

En termes d’impact métier, les différents services d'urgence sont toujours très occupés dû aux conséquences de cette attaque. Des perturbations ainsi que des retards conséquents ont été observées dans les services de santé impactées. De nombreux rendez-vous pour des radiographies ont également été annulés.

Le HSE a été averti il y a trois ans concernant les faiblesses de son réseau informatique, et des plans ont été élaborés pour prendre une série de mesures visant à réduire les vulnérabilités identifiées lors d'audits internes.

La plupart de ces projets portent sur l'authentification et le durcissement. Ainsi, 300 millions d'euros ont été investis dans les infrastructures au cours des trois dernières années, dont 82 millions environ pour la protection du réseau central d’HSE. Le HSE n'a pas été en mesure de dire si ces faiblesses ont joué un rôle dans la cyberattaque dévastatrice qui a eu lieu la semaine dernière.