Trois questions à un expert en cybercriminalité pour comprendre la fuite de données confidentielles

Trois questions à un expert en cybercriminalité pour comprendre la fuite de données confidentielles
Trois questions à un expert en cybercriminalité pour comprendre la fuite de données confidentielles

Le groupe de hackers Lockbit3.0. a mis à exécution ses menaces si une rançon ne lui était pas versée avant minuit le 30 avril. 61 gigaoctets de données confidentielles ont ainsi été divulgués, en clair, dans la nuit du 1er au 2 mai. Pierre Penalba, expert en cybercriminalité et commandant honoraire du service anti-cybercriminalité de la PJ de Nice, décrypte, pour la rédaction de France 3 Côte d’Azur, les tenants et les aboutissants de cet acte criminel.

C’était le 16 avril dernier. Le centre hospitalier de Cannes a annoncé, par le biais d’un communiqué, avoir fait l’objet d’une cyberattaque visant son système d’information par le groupe de hackers Lockbit3.0. Un événement qui a conduit à la déprogrammation d’un tiers de l’activité opérationnelle.

Lockbit3.0. est le groupe de hackers le plus dangereux au monde et c’est à travers ce message, provenant de son site de réclamations officiel, sur le darknet, que les hackers ont fait connaître leur méfait.

>>

Tiré du site officiel de réclamations darkweb du groupe de hackers Lockbit3.0. qui a revendiqué la cyberattaque du Centre Hospitalier Simone Veil de Cannes le 16 avril.

© Pierre Penalba expert en cybercriminalité à l’Université de Sophia-Antipolis

Deux semaines plus tard, Yves Servant, le directeur de l’hôpital Cannes qu’on le sache qu’une rançon avait été exigée par ce même groupe.

Aujourd’hui, l’establishment a pris connaissance d’une demande de rançon de la part du groupe de hackers Lockbit 3.0. Cette réclamation a été transmise à la Gendarmerie et le CHC-SV a informé l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) de la situation. Les établissements publics de santé ne paient jamais de rançon face à ce type d’attaques.

La direction du Cannes CH dans un communiqué.

Cette nuit même, dans la nuit du 1er au 2 mai, Lockbit3.0. a mis ses menaces à exécution puisqu’aucune rançon ne lui a été versée. 61 gigaoctets de données confidentielles ont ainsi été mis à disposition sur l’un des sites du darknet.

Dans un langage plus compréhensible, selon Pierre Penalba, expert en cybercriminalité à l’université de Sophia-Antipolis dans les Alpes-Maritimes et commandant honoraire du service anti-cybercriminalité de la PJ de Nice, «C’est comme si les données de l’hôpital avaient été copiées par les hackers et que la rançon n’ayant pas été payée, ces derniers ont mis leurs menaces à exécution en mettant ces informations à la disposition de tous. Pour ce faire, ils ont créé un serveur où les données sont librement accessibles, à toute personne sachant, à l’aide d’un navigateur spécifique, pouvoir les récupérer.

>
>

Des centaines de milliers de données issues de la cyberattaque de l’hôpital de Cannes ont été diffusées, en clair, sur la toile. Ici, une carte d’identité. Données d’une valeur inestimable pour toute personne malveillante qui en prendrait possession.

© Pierre Penalba expert en cybercriminalité à l’Université de Sophia-Antipolis

Information confirmée par un communiqué du centre hospitalier Cannes Simone Veil : « Le centre hospitalier Cannes Simone Veil confirme que les données publiées au soir du 1er mai lui appartiennent. La direction du centre hospitalier condamne cette publication et regrette les dommages éventuellement causés à certains de ces patients, professionnels et partenaires.

Le centre hospitalier Cannes Simone Veil confirme que les données publiées au soir du 1er mai lui appartiennent. La direction condamne cette publication.

La direction du Cannes CH dans un communiqué.

« La qualification des données exfiltrées se poursuit et des retours dans les prochains jours, détaillés et personnalisés, seront faits aux personnes et institutions concernées. Ce retour d’information comprendra également des conseils en matière de cybersécurité à suivre dans ces circonstances. Accompagnée du CERT-Santé et de divers partenaires spécialisés en cybersécurité, la direction du Centre hospitalier confirme avoir déposé une plainte et contribuer activement à l’enquête en cours. Une alerte a également été adressée à la CNIL et à l’ANSSI. L’hôpital a repris son cours presque normal. Le fonctionnement normal de son système d’information est rétabli à un rythme soutenu, conformément au plan d’action défini au début de la crise. Le suivi de la gestion de cette crise se poursuivra. ‘Soyez assuré dans les prochains jours« .

>LockBit est un rançongiciel utilisé depuis 2019. Par extension, c'est aussi le nom du groupe de hackers qui l'exploitent et qui a commis la cyberattaque du Centre Hospitalier Simone Veil de Cannes le 16 avril dernier.
>

LockBit est un rançongiciel utilisé depuis 2019. Par extension, c’est aussi le nom du groupe de hackers qui l’exploitent et qui a commis la cyberattaque du Centre Hospitalier Simone Veil de Cannes le 16 avril dernier.

© Pierre Penalba expert en cybercriminalité à l’Université de Sophia-Antipolis

Pierre Penalba décrypte les tenants et aboutissants de cet acte criminel.

Comment les criminels ont pu procéder :

Selon le spécialiste de la cybercriminalité,“trois possibilités existent pour pénétrer le système informatique de ce type d’administration : soit par phishing ciblé, soit en ayant trouvé une faille dans le système de sécurité, soit par une clé USB”.

Hameçonnage ciblée consiste à envoyer au personnel de l’organisation ciblée un email qui contient une pièce jointe ou un lien, comme un planning ou une mise à jour logicielle. Une fois que vous cliquez sur le lien, vous infectez votre poste de travail et le virus se propage alors dans tout le système et les pirates ont accès à tout ce qu’ils veulent. 90% des attaques informatiques sont liées au phishing.

« Percer le système de sécurité d’une administration me paraît plus complexe», selon l’ancien policier de la PJ. S’il y a une intrusion, il y a normalement des alertes ou des alarmes qui sont mises en place. » On peut aussi imaginer qu’il y ait eu complicité de personnes» ajoute Pierre Penalba.

Troisième option, mais celle-ci est très rare, selon l’ancien policier« C’est que les hackers ont bénéficié de la complicité d’une personne qui, via une clé USB, a introduit un virus dans le système. Une pratique plus rare et réservée presque exclusivement à l’espionnage économique et industriel. Mais rien ne peut être exclu au début d’une enquête.»

Trois possibilités existent pour pénétrer le système informatique de ce type d’administration : soit par phishing ciblé, soit en ayant trouvé une faille dans le système de sécurité, soit par une clé USB.

Pierre Penalba, expert en cybercriminalité.

Ce qui inquiète l’expert de cette attaque c’est « qu’il y a eu une brèche quelque part. Normalement, les données volées n’auraient jamais dû se trouver dans clair, c’est-à-dire non crypté. Le RGPD impose aux administrations de chiffrer leurs données, afin qu’en cas de vol, elles soient inutilisables. Ici, ce n’est pas le cas. Reste à savoir s’il s’agit d’un défaut humain ou logiciel. et ajouter « Cela implique que les hackers avaient la clé de déchiffrement, ce qui me semble fou, ou que les données n’ont pas été codées pour X ou Y raisons. Tout dépend des moyens utilisés, du logiciel et de bien d’autres paramètres. Seule l’enquête pourrait nous éclairer sur ce fait.

Ce que les criminels ont révélé sur le web

Parmi les 61 gigaoctets de données confidentielles qui ont été divulgués, en clair, ce rapport d’une consultation pédiatrique au Centre Hospitalier de Cannes.

>Parmi les 61 gigaoctets de données confidentielles qui ont été diffusés, en clair, sur la toile hier soir, ce compte rendu d'une consultation pédiatrique au Centre Hospitalier de Cannes.
>

Parmi les 61 gigaoctets de données confidentielles qui ont été diffusés, en clair, sur la toile hier soir, ce compte rendu d’une consultation pédiatrique au Centre Hospitalier de Cannes.

© Pierre Penalba expert en cybercriminalité à l’Université de Sophia-Antipolis

« Dans les données qui sont diffusées, vous avez entre autres des données personnelles, des informations de santé, des numéros de Sécurité Sociale… » explique l’expert.

1 gigaoctet peut contenir 10 000 photos d’identité haute définition. Vous imaginez toutes les informations contenues dans 61 Go !

Pierre Penalba, expert en cybercriminalité.

À qui et à quoi peuvent servir les données confidentielles mises en ligne ?

Selon le commissaire honoraire de la PJ de Nice, « En tant que personne honnête, ces données ne sont d’aucune utilité. En revanche, pour certaines personnes mal intentionnées, c’est une mine d’or qui leur permettra de réaliser toutes sortes d’arnaques. La liste est longue et variée. On peut même imaginer du chantage. Imaginez, il peut y avoir des informations sur la maladie d’un chef d’entreprise qui ne veut pas que cela soit connu… !

Comment se protéger d’une cyberattaque ?

Si vous êtes lié d’une manière ou d’une autre à cette cyberattaque, « il faut redoubler de vigilance » selon Pierre Pénalba. « Uniquement les mots d’ordre, Source email, SMS ou appel téléphonique et vérifiez-les. Les faux sites ont fait beaucoup de progrès. Il n’y a plus de fautes d’orthographe, d’approximations. Aujourd’hui, ils ont « l’air vraiment vrai en tout cas, à partir du moment où on vous contacte et vous parle d’argent, de factures, de coordonnées bancaires, la méfiance doit être immédiate ».

Aujourd’hui, il faut avoir le réflexe de contre-appeler, pour vérifier qui vous contacte et pourquoi ! La méfiance doit être immédiate.

Et d’ajouter par exemple « Si vous avez un mail de la Sécurité sociale, vous devez appeler vous-même la Sécurité sociale pour savoir si c’est bien celui qui est à l’origine de ce mail, de ce SMS ou de cet appel. Et, ce, pour toute organisation, publique ou privée, il faut avoir ce réflexe de contre-appel. C’est un peu terrible, mais il faut le faire.

Dans le monde du darknet, aucune législation n’existe ! «C’est un espace de non-loi. C’est-à-dire que ce n’est pas régi par les lois”, explique Pierre Penalba, “c’est pour cela qu’il y a tant de criminels qui créent des sites de revente de produits, de stupéfiants, d’armes ou des sites de pédocriminalité ou autre. Tout est possible”, puisqu’il n’y a aucune possibilité pour un État de légiférer si quelque chose est mis en place. en ligne sur le darknet, on ne peut pas le supprimer. La seule possibilité dont disposent les forces de police est de réussir, en coopération internationale, à identifier les hommes qui se cachent derrière les serveurs qui hébergent les données. et les fermer, mais c’est très difficile, cela demande beaucoup de ressources pour revenir sur le site lui-même.

Le darknet est un espace de non-droit, qui n’est pas régi par des lois. Si quelque chose est publié en ligne, il ne peut pas être supprimé !

« La dernière fois, pour infiltrer Lockbit3.0, il a fallu plus de trois ans de travail. Ce groupe a été démantelé il y a quelques mois à l’échelle internationale, mais en fait, c’est comme l’Hydre du Marais de Lerne. Nous lui avons coupé la tête et aussitôt une autre repousse.déclare l’ancien policier. « Lors de la dernière opération, la police internationale a arrêté l’un des premiers affiliés au premier cercle, mais pas le leader du sommet de la pyramide. Ce n’était pas l’auteur ou les auteurs du groupe Lockbit3.0. Alors aussitôt, une autre équipe est venue remplacer celle qui avait été arrêtée et le véritable créateur du groupe a revendu ses outils à un autre groupe !

En fait, ce groupe semble s’apparenter à un système mafieux. Il y a toujours un leader au-dessus du leader, que personne ne sait localiser. Le leader suprême distribue ses outils numériques, via le darknet, et est rémunéré en retour.

Accompagnée du CERT-Santé et de différents partenaires spécialisés en cybersécurité, la direction du centre hospitalier confirme avoir porté plainte et contribue activement à l’enquête en cours. Une alerte a également été adressée à la CNIL et à l’ANSSI.

 
For Latest Updates Follow us on Google News
 

PREV Un commando tire des coups de feu et lance une grenade à Bobigny
NEXT Jugé en appel à Genève pour viol, Tariq Ramadan réitère son innocence