Nul secteur n’échappe aux cybercriminels. L’actualité révèle chaque mois les attaques dont sont victimes le monde professionnel y compris les structures de santé et les établissements et services médico-sociaux (ESMS). La cybersécurité des ESMS est une des préoccupations principales de Widip. Les dommages peuvent être graves, affectant la prise en charge et le suivi des personnes hospitalisées ou en soins. D’où la nécessité de comprendre le mécanisme des cyberattaques pour mieux s’en protéger. Suivez le guide dans cette cyber-jungle.
Quand les hackers ciblent les données médicales
Une cyberattaque exploite les systèmes d’information et les réseaux d’entreprises dépendantes de la technologie, utilisant souvent un code malveillant pour modifier le code informatique ou les données. Ces attaques ont des conséquences destructrices : compromission des données, vol d’informations et d’identité voire détournements d’argent ou rançons.
Le CHU de Rouen bloqué par un « ransomware » [1]
Cette cyberattaque a fait grand bruit dans le monde médical à la fin de l’année 2019. Elle a été tellement invasive que l’hôpital a dû cesser ses activités médicales pendant plus de 24 heures. Le logiciel malveillant (« malware ») a envahi le réseau traditionnel mais aussi les appareils de mesure et d’imagerie médicale. Les spécialistes de l’Agence nationale de la sécurité des systèmes d’information (Anssi) ont dû intervenir aux côtés des équipes informatiques de l’hôpital.
L’attaque a commencé mi-octobre par du phishing et s’est conclue mi-novembre par l’installation du logiciel de rançon (« ransomware ») Clop, vu en Corée du Sud et aux Etats-Unis. Celui-ci serait l’œuvre d’un groupe criminel dénommé Ta505 par les experts en sécurité informatique.
« Révélatrice du manque de maturité en matière de sécurité informatique du secteur médical et médico-social, cette affaire devrait être l’occasion d’une prise de conscience », espère le patron de l’Anssi. Et il ne s’agissait « que » qu’une demande de rançon : des attaques plus pernicieuses pourraient s’en prendre aux données médicales et entraîner des conséquences bien plus dramatiques pour les patients.
Orpea n°2 des cliniques privées et ESMS en France également touché [2]
Le numéro 2 français des cliniques et autres établissements sociaux et médico-sociaux a lui aussi été victime d’une cyberattaque au mois de septembre de cette année. La société a très peu communiqué sur ce sujet indiquant seulement que moins de 1% des serveurs a été touché et que cela n’a pas impacté son activité.
SOPRA Steria : les experts informatiques ne sont pas épargnés [3]
Cet exemple de cyberattaque hors du secteur médico-social révèle la vulnérabilité des experts informatiques eux-mêmes. Une attaque de type « ransomware » a touché cette société de services informatiques de 46000 employés dans le monde en octobre 2020. Le même logiciel (Ryuk) avait fait pas mal de dégâts aux Etats-Unis dans une chaîne d’hôpitaux (Universal Health Services) un mois avant.
Les données médicales personnelles se monnayant très cher, attisent la convoitise des pirates. Le Dark Web regorge d’informations de données des patients américains. Un motif de grande vigilance pour les secteurs sanitaires et médico-sociaux.
Présentation des cyberattaques courantes
Attaques de phishing (hameçonnage)
Le phishing est un type d’attaque dite d’« ingénierie sociale » utilisé pour voler les données personnelles des utilisateurs telles que les numéros de carte de crédit et les identifiants de connexion. L’attaquant, se faisant passer pour une personne de confiance (une institution par exemple comme les impôts, EDF, votre banque), trompe sa victime pour qu’elle ouvre un message texte, un courriel ou un message instantané. La victime est amenée à cliquer sur un lien qui peut provoquer, grâce à l’installation et l’exécution d’un logiciel malveillant, au gel de son système informatique ou la révélation d’informations sensibles.
Les résultats peuvent être désastreux : pour un individu, vol d’identité, de fonds, achats non autorisés ; pour une entreprise, vols de données sensibles.
Le phishing est souvent utilisé pour s’insérer dans des réseaux gouvernementaux ou d’entreprises importantes voire stratégiques, dans le cadre d’un complot plus important, comme la menace persistante avancée (Advanced Persistent Threat – APT). Dans un tel cas, les employés sont visés pour obtenir un accès privilégié à des données sécurisées, pour distribuer des logiciels malveillants par des canaux de communication interne (messagerie, partage réseau) dans un environnement fermé et ainsi, contourner les paramètres de sécurité.
Attaques de spear phishing (harponnage)
Le harponnage est une technique de phishing ciblée. Un courrier électronique destiné à une personne dans une organisation particulière, permet l’accès sans autorisation à des informations cruciales. Ces piratages ne sont pas exécutés de manière aléatoire, mais le fait d’individus à la recherche de secrets commerciaux, de gains financiers ou de renseignements militaires, et qui ciblent parfaitement la victime.
Les courriels de harponnage semblent provenir d’un individu au sein de l’organisation du destinataire ou d’une personne que la cible connaît. Très souvent, les hackers et les pirates informatiques parrainés (gouvernement, concurrence) se livrent à ces activités. Les cybercriminels mènent également ces attaques dans le but de revendre des données confidentielles à des entreprises privées et à des gouvernements. Ces attaquants utilisent l’ingénierie sociale et des approches individuelles pour personnaliser les sites web et les messages.
Attaques de phishing à la baleine (whaling)
Comme son nom l’indique, la « chasse à la baleine » est une attaque d’envergure. Elle cible des personnalités telles que le directeur financier ou le PDG d’une société et les informations vitales et sensibles auxquelles celles-ci ont accès. La plupart des cas de whaling manipulent la victime pour qu’elle opère des transferts de fonds de grande valeur pour l’attaquant.
Très ciblées, les attaques de phising à la baleine sont plus difficiles à remarquer que les cas d’hameçonnages classiques. La formation du personnel de direction à la sécurité informatique s’impose pour réduire ce type de risque.
Attaques de doxxing
Les attaques de doxxing concernent plutôt les particuliers et consistent à révéler des informations privées sur Internet (adresse, numéro de sécurité sociale, numéro de compte bancaire, photos, vidéos). L’objectif est de nuire à la personne : cela permet de prendre un ascendant sur elle, afin de l’inciter à réaliser des actions illicites pour le compte d’un cyber attaquant.
Attaques de logiciels malveillants
Un logiciel malveillant est un code conçu pour affecter furtivement un système informatique compromis à l’insu de l’utilisateur. Cette catégorie inclut de nombreux types de logiciels malveillants (« malwares ») tels que les logiciels espions, les logiciels de rançon, les commandes et le contrôle.
De nombreuses entreprises, Etats et acteurs criminels bien connus ont été surpris en train de déployer des logiciels malveillants.
Les logiciels malveillants peuvent se propager sur un réseau, provoquer des modifications et des dommages, rester indétectables et être persistants dans le système infecté. Ils peuvent détruire un réseau et saboter les performances d’une machine.
Ransomware (logiciel de rançon)
Les logiciels de rançon bloquent l’accès aux données d’une victime, en menaçant généralement de les supprimer si une rançon n’est pas versée – sans garantie que le paiement rendra l’accès aux données. Les demandes de rançon sont souvent effectuées par l’intermédiaire d’un cheval de Troie déguisé en fichier légitime.
Attaque de type drive-by
Cette méthode de diffusion de logiciels malveillants est courante. Un cyber-attaquant cherche un site web non sécurisé et installe un script malveillant dans l’une des pages. Ce script peut installer un logiciel malveillant sur l’ordinateur qui visite ce site web ou devenir une iframe (fenêtre interstitielle) qui redirige le navigateur de la victime vers un site contrôlé par l’attaquant. Dans la plupart des cas, ces scripts sont obfusqués (cachés), compliquant l’analyse du code par les chercheurs en sécurité. Ces attaques sont connues sous le nom de « drive-by » car elles ne nécessitent aucune action de la victime. La seule visite du site compromis infecte son ordinateur en silence, si celui-ci est vulnérable au malware, surtout en cas de défaut de mise à jour de sécurité des applications principales et d’une protection contre les malwares et autres virus.
Cheval de Troie
Un cheval de Troie est un logiciel malveillant qui se présente sous une fausse identité pour sembler utile. Sous l’aspect d’un logiciel de routine, il se propage en persuadant les victimes de l’installer. Les chevaux de Troie sont considérés comme l’un des types de logiciels malveillants les plus dangereux.
Attaques sur internet
Injection SQL
L’injection SQL, également connue sous le nom de SQLI (SQL Injection), utilise un code malveillant pour manipuler les bases de données, afin d’accéder à des informations privées. Il peut s’agir de données personnelles de clients (adresses mail, données de carte de crédit, numéros de téléphone), de listes d’utilisateurs ou de données sensibles de l’entreprise.
Les effets peuvent être dévastateurs. Une attaque SQLI réussie peut entraîner la suppression de tables entières, la visualisation interdite de listes d’utilisateurs et, dans certains cas, l’accès administratif de l’attaquant à la base de données. Le coût d’une telle offensive inclut la perte de confiance des clients en cas de vol d’informations personnelles.
Bien que le SQLI puisse être utilisé pour attaquer n’importe quelle base de données SQL, les coupables ciblent souvent des sites web via Internet : pensez à sécuriser le vôtre !
Cross Site Scripting
Le cross-site scripting (XSS) est une sorte de brèche d’injection par laquelle l’attaquant envoie des scripts malveillants dans le contenu de sites web réputés. Cela se produit lorsqu’une source douteuse est autorisée à joindre son propre code dans des applications web, et que le code malveillant est regroupé avec du contenu dynamique qui est ensuite envoyé au navigateur de la victime.
Le code malveillant est généralement envoyé sous la forme de morceaux de code Javascript exécutés par le navigateur de la cible. Les scripts exécutables malveillants peuvent utiliser de nombreux langages, dont Flash, HTML, Java et Ajax. Les attaques XSS peuvent être dévastatrices, mais il est assez simple d’atténuer les vulnérabilités qui les permettent.
Pharming
Ces attaques exploitent une faille sur des serveurs de type DNS (Domain Name Server). Un serveur DNS sert à gérer la correspondance entre les noms de domaine et les adresses IP. C’est un des composants clés sur Internet pour un bon fonctionnement des services en ligne. Elles permettent d’utiliser des méthodes de type « drive by » pour rediriger les internautes vers des serveurs frauduleux en lieu et place des serveurs habituels.
Autres menaces pour la cybersécurité
Attaque par déni de service distribué (DDoS)
Le déni de service (DDoS) vise à fermer un réseau ou un service, le rendant inaccessible. Les attaques submergent la cible de trafic ou l’inondent d’informations provoquant un crash informatique. Dans les deux cas, elles privent les utilisateurs – employés, titulaires de comptes, membres, etc – de la ressource ou du service qu’ils attendaient.
Les attaques par déni de service sont souvent dirigées contre les serveurs web d’organisations très en vue, telles que les structures commerciales et les gouvernements, les médias et les banques. Bien qu’elles n’entraînent ni la perte ni le vol d’informations vitales ou d’autres biens, elles peuvent coûter beaucoup d’argent et de temps pour les atténuer. Le DDoS est souvent utilisé en combinaison pour détourner l’attention d’autres attaques réseau qui peuvent avoir lieu en même temps.
Attaque par mot de passe
Une attaque de mot de passe signifie simplement une tentative de décrypter ou d’obtenir le mot de passe d’un utilisateur avec des intentions illégales.
Les crackers peuvent utiliser des renifleurs de mots de passe, des attaques par dictionnaire et des programmes de craquage. Des algorithmes leur permettent d’essayer de nombreuses combinaisons jusqu’à découvrir le bon mot de passe. La solution passe par une politique de sécurité rigoureuse : limitation du nombre de tentatives autorisées pour accéder à l’ordinateur, longueur minimale des mots de passe, changements fréquents, mots méconnaissables.
Attaque d’écoute (sniffing)
Les attaques d’écoute commencent par l’interception du trafic réseau. L’écoute clandestine, également appelée « snooping » ou « sniffing », tire parti des transmissions non sécurisées du réseau pour voler les informations qu’échangent les smartphones, les ordinateurs et autres appareils numériques. Elle est difficile à détecter car elle ne provoque pas de transmissions de données anormales.
Ces attaques visent les transmissions affaiblies entre le client et le serveur. Un attaquant peut installer des moniteurs de réseau tels que des renifleurs sur un serveur ou un ordinateur pour intercepter les données pendant leur transmission. Tout dispositif au sein du réseau de transmission et de réception est un point de vulnérabilité, y compris le terminal et les dispositifs initiaux eux-mêmes. Une façon de se protéger est de savoir quels sont les appareils connectés à un réseau particulier et quels logiciels sont exécutés sur ces appareils.
Attaque des anniversaires
L’attaque d’anniversaire s’appuie sur les « hashs », des fichiers utilisés pour s’assurer de la validité et de l’authenticité d’une transmission. Elle permet de falsifier des signatures de documents, par exemple en fournissant un document falsifié lors d’un échange.
Brute-Force et attaques de réseau avec des dictionnaires
Les attaques par dictionnaire et par force brute sont des attaques de réseau dans lesquelles l’attaquant tente de se connecter au compte d’un utilisateur en essayant systématiquement tous les mots de passe possibles jusqu’à ce qu’il trouve le bon.
La méthode la plus simple pour attaquer est de passer par la porte d’entrée puisque vous devez avoir un moyen de vous connecter. Si vous disposez des informations d’identification requises (par exemple le formatage des identifiants de connexion), vous pouvez vous connecter en tant qu’utilisateur normal sans laisser de traces suspectes.
Le terme « force brute » désigne le fait de dominer le système par la répétition. Lors du piratage de mots de passe, un logiciel de dictionnaire permet d’associer des mots selon des milliers de combinaisons, depuis les lettres simples jusqu’aux mots complets.
Les attaques par dictionnaire de force brute peuvent faire 100 à 1000 tentatives par minute. Après plusieurs heures ou jours, les attaques par la force brute peuvent finalement craquer n’importe quel mot de passe. D’où l’importance des bonnes pratiques en matière de mots de passe, en particulier sur les ressources critiques telles que les commutateurs de réseau, les routeurs et les serveurs.
Menaces d’initiés
Toutes les attaques de réseau ne sont pas réalisées de l’extérieur de l’organisation. Une personne autorisée à accéder au système peut opérer une attaque interne sur un système ou un réseau informatique. Les initiés connaissent les politiques du système et l’architecture du réseau. Qui plus est, les organisations ont tendance à moins se protéger de ces attaques internes.
Les menaces d’initiés peuvent affecter tous les éléments de la sécurité informatique et vont de l’injection de cheval de Troie au vol de données sensibles sur un système. Les attaquants peuvent également affecter la disponibilité du système en surchargeant le réseau ou la capacité de traitement ou de stockage des ordinateurs, ce qui entraîne des pannes de système.
Attaques de type « Man-in-the-Middle » (MITM)
Comme leur nom l’indique, les attaques de type « Man-in-the-middle » (MITM) permettent à un attaquant d’« écouter » une communication entre deux entités, en interceptant la transmission du message de la clé publique et en manipulant les clés. Les deux parties semblent communiquer comme d’habitude, sans savoir que l’expéditeur du message est un auteur inconnu qui tente de modifier le message et d’y accéder avant qu’il ne soit transmis au destinataire. Ainsi, l’intrus contrôle l’ensemble de la communication.
Attaques à l’aide de l’IA (Intelligence artificielle)
Le concept d’un programme informatique apprenant par lui-même, construisant des connaissances et devenant plus sophistiqué peut être effrayant.
L’intelligence artificielle peut être considérée comme un mot à la mode. Elle est pourtant utilisée dans des applications quotidiennes par un processus algorithmique appelé apprentissage automatique. Les logiciels d’apprentissage automatique visent à former un ordinateur à effectuer des tâches particulières par lui-même. On lui apprend à accomplir des tâches en les effectuant de manière répétée tout en apprenant à connaître certains obstacles qui pourraient l’en empêcher (« machine learning »).
L’IA peut être utilisée pour pirater de nombreux systèmes, y compris des véhicules autonomes et des drones, en les convertissant en armes potentielles. Elle rend plus puissantes et plus efficaces les cyberattaques telles que le vol d’identité, le craquage de mots de passe et les attaques par déni de service automatisées. Dans les faits, elle est surtout utilisée pour esquiver les dispositifs de sécurité des systèmes – mais aussi pour la protection et la contre-offensive contre ces attaques !
Préparez-vous aux cyberattaques contre votre réseau
Vous voilà instruits des risques de cyberattaques les plus courants. Les attaquants ne manquent ni d’imagination ni de moyens pour compromettre et perturber vos systèmes d’information. Votre défense, c’est une politique de sécurité solide, cohérente et révisée régulièrement. Elle doit s’appuyer sur la formation et l’investissement de vos équipes dans la cybersécurité. Bien sûr, une base de données antivirus à jour, des mots de passe costauds et un environnement informatique à faible privilège (dans lequel chaque utilisateur, homme ou machine, dispose du minimum de droits pour réaliser les tâches qui lui incombent) doivent faire partie de votre stratégie. Sans oublier le conseil et l’appui des spécialistes de la sécurité informatique.
Et vous, où en est votre établissement avec la sécurité informatique ? Pour en avoir le cœur net, demandez le « Flash Sécurité ESMS » de Widip en cliquant sur la bannière ci-dessous :
Sources :
[1] : https://www.lemonde.fr/pixels/article/2019/11/26/apres-la-cyberattaque-au-chu-de-rouen-l-enquete-s-oriente-vers-la-piste-crapuleuse_6020609_4408996.html
[2] : https://www.lefigaro.fr/flash-actu/orpea-victime-d-un-piratage-informatique-qui-n-affecte-pas-la-gestion-de-ses-etablissements-20200921
[3] : https://www.lemonde.fr/pixels/article/2020/10/23/l-entreprise-francaise-de-services-numeriques-sopra-steria-victime-d-une-attaque-informatique_6057168_4408996.html