La cybercriminalité dans le milieu des soins de santé au temps du coronavirus

Firmes pharmaceutiques, hôpitaux, agences gouvernementales, et maintenant, l’Agence européenne du Médicament (EMA) : tous organismes partagent ce statut d’avoir été victimes de cyberattaques, en lien direct avec le coronavirus, durant cette année 2020. Ce 9 décembre, l’EMA a en effet déclaré avoir subi une cyberattaque, sans donner plus d’informations tant que l’enquête est en cours. Une attaque liée au développement du vaccin : Pfizer et BioNTech ont en effet précisé que ce seraient des documents liés à l’autorisation de mise sur le marché de leur vaccin qui a été la cible des attaques. Tout en rassurant : aucune donnée personnelle des participants aux essais cliniques n’aurait fuité. "Cela n'affectera pas le planning de distribution du vaccin, assure Cooke Emer, directrice de l'EMA, nous sommes toujours pleinement fonctionnels. Nous enquêtons sur cette cyberattaque avec les experts internationaux."

La crise sanitaire du covid-19 est un nouveau territoire qui a été exploité par les hackers en cette année 2020, avec deux grands angles d’attaque : le piratage de données confidentielles autour du développement des vaccins et traitements du covid-19, plutôt à portée d’espionnage industriel ; et l’exploitation de l’inquiétude et du stress généré par cette situation exceptionnelle, nous rendant plus vulnérable au quotidien. Le tout dans un contexte où le travail à distance oblige nombre de travailleurs à avoir une présence plus soutenue dans le monde numérique, augmentant donc par là le nombre d’opportunités de cyberattaques.

Espionnage industriel ?

Une communication de Microsoft, datant de novembre 2020, a fait état de plusieurs attaques informatiques visant spécifiquement des entreprises directement impliquées dans la recherche autour du covid-19 : "Les cibles sont notamment des sociétés pharmaceutiques et des chercheurs de vaccins de premier plan au Canada, en France, en Inde, en Corée du Sud et aux États-Unis", est-il indiqué. Une majorité de ces sociétés sont impliquées dans le développement du vaccin covid-19, et/ou ont des contrats avec des agences gouvernementales.

L’origine de ces attaques ? Des groupes de hackers bien connus du milieu, nommés Strontium, Zinc et Sérium par Microsoft (qui a développé une nomenclature particulière, cfr illustration plus bas). Ces groupes sont ce que l’on appelle des "nation state actors", c’est-à-dire que ce sont des groupes de cybercriminels dont les activités sont suspectées d’être "facilitées" par des agences gouvernementales, à des buts, notamment, d’espionnage. Dans notre cas, Strontium serait soutenu par la Russie, Zinc et Cerium par la Corée du Nord.

3 images
Une partie des "nation state actors" et leurs activités © Microsoft Digital Defense Report 2020

Comme l’a analysé notre confrère du Monde, Martin Untersinger, ces trois groupes sont bien connus des experts en cybersécurité, et sont suspectés d’agir pour le compte des services de renseignement de Russie et de Corée du Nord. Microsoft précise leur méthodologie, assez classique au final :

  • Strontium utilise la technique du "password spray", où ils ciblent un grand nombre de comptes en utilisant quelques mots de passe couramment utilisés ; et celle du "brute force login attempts", où un maximum de combinaisons possibles de mots, chiffres et symboles sont générées pour trouver les données de connexion.
  • Zinc utilise la technique du "spear-phishing", sorte de version améliorée du phishing. C’est de cette manière qu’a été touchée AstraZenecca (firme pharmaceutique anglaise dans la course aux vaccins), comme l’explique Olivier Boogaerts, commissaire à la Computer Crime Unit. "Les auteurs vont se documenter autour des employés qu’ils vont cibler, et vont les contacter pour les amener à réagir à un contenu. Les personnes ont été contactées pour leur proposer un nouveau travail, et elles ont été amenées à ouvrir une pièce jointe qui va installer un logiciel qui va permettre l’intrusion dans les systèmes."

Déjà en début d’épidémie, Google avait constaté que les organisations de santé nationales et internationales étaient plus souvent la cible de tentatives de piratage, et plusieurs évènements sont venus confirmer cette tendance : en mai 2020, le FBI a accusé la Chine de piratage autour des recherches pour des vaccins et traitements covid-19 aux États-Unis, via des acteurs "non-traditionnels", soit des universités ou étudiants liés au pouvoir chinois. Plus récemment, IBM a découvert que des sociétés et organisations impliquées dans la distribution des vaccins ont été la cible de cyberattaques. "Les hackers ont cherché à savoir comme le vaccin serait transporté, conservé, réfrigéré et livré" a déclaré le chef de l’équipe de renseignement sur les menaces mondiales d’IBM. Avec cette fameuse technique du "spear-phishing", où les hackers se faisaient passer pour une grosse compagnie chinoise, "Haier Biomedical" (qui intervient dans cette chaîne de distribution du vaccin) afin de pousser à l'ouverture d'une pièce jointe.

Profiter de l'inquiétude créée par cette crise

Mais à côté de ces cyberattaques visant de grosses entreprises, la cybercriminalité a aussi globalement évolué en parallèle de l'épidémie de coronavirus, démontrant la capacité des hackers à profiter de circonstances exceptionnelles pour faire du profit. Microsoft a ainsi analysé les détections de malware, avec les événements qui ont ponctué la crise sanitaire aux États-Unis : on voit ainsi que des pics de détection correspondent au moment où la pandémie est déclarée par l'OMS, et que le pays commence à prendre certaines mesures de lutte contre le covid-19. Si globalement, le nombre de malwares n'a pas augmenté, Microsoft constate que les hackeurs ont joué sur l'inquiétude liée au coronavirus pour organiser le timing de leurs attaques.

3 images
© Tous droits réservés

Au-delà des grands noms des organisations internationales et firmes pharmaceutiques, ce sont aussi des hôpitaux, centre de santé, cliniques et instituts de recherche qui ont été touchés par la cybercriminalité, parfois dans le simple but de nuire au fonctionnement de ces organismes. Ainsi, en mars, l'Hôpital de Paris, qui gère une trentaine d'hôpitaux dans la capitale française, a été victime d'une attaque par déni de service, heureusement rapidement contrôlée. Fin octobre, les agences fédérales américaines ont mis en garde contre une vague d'attaques par ransomware, touchant plus d'hôpitaux qu'habituellement. Ces attaques, perturbant le fonctionnement normal des hôpitaux, peuvent avoir de graves conséquences sur les soins portés aux patients.

Conscients de la fenêtre d'opportunités créée par la crise sanitaire, plusieurs voix se font entendre pour combattre encore plus intensément la cybercriminalité, tout particulièrement quand elle touche le domaine des soins de santé, et la vie d'humains.

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK