CHU de Rennes : il ne s’agirait pas d’un ransomware
La cyber attaque vécue par le CHU de Rennes a permis à un pirate d’exfiltrer des données. Il ne s’agirait pas d’un ransomware.
Mercredi 21 juin, 16h30, le Centre Hospitalier Universitaire de Rennes est alerté par son prestataire Orange Cyberdéfense. Un outil a détecté des adresses IP qui n’ont rien à faire là. Les machines et serveurs sont fermés. Plus possible d’envoyer des courriels. L’établissement de santé compte 1000 serveurs, 7 000 postes de travail, 140 applications métiers. Grace à une task force prévue en cas de problème, la cyber attaque semble avoir été bloquée une heure aprés son lancement. Les téléconsultations ont été suspendues.
Malgré cette malveillance, l’accueil des patients à l’hôpital, aux urgences et via le Samu-Centre 15 n’ont pas été perturbés.
L’ANSSI est alertée, des spécialistes sont envoyés sur place. Le CHU avait organisé, il y a quelques mois, un exercice cyber.
Qui derrière cette cyber attaque ?
Pour le moment, aucune revendication. Pas de message de pirates spécialisés dans le chantage numérique (rançongiciel, exfiltration de données, Etc.) que se soit sur le web, darkweb, Telegram où autres lieux de communication usités par ces malveillants. La direction de l’hôpital confirme qu’il y a bien eu exfiltration de données, mais sans en connaitre le nombre et les contenus. L’hôpital a précisé que dorénavant, c’est l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui va déterminer la nature et le type de données volées par le pirate. « Si des données ont été volées, nous préviendrons les patients et autres professionnels concernés. » termine la direction du CHU.
Valery Marchive, dans le MagIt revient d’ailleurs sur le fait qu’un accès VPN, d’un partenaire de l’établissement, semble avoir été exploité. Des VPN et autres connexions externes que les pirates commercialisent par milliers, comme j’ai pu vous l’expliquer ici, via des services et des blackmarkets spécialisés.
Le vol d’accès à un réseau privé virtuel (VPN) peut avoir des conséquences graves pour une entreprise. Il peut entraîner la fuite de données sensibles, la compromission du réseau interne et le vol d’identifiants et d’informations d’authentification. Ces données volées peuvent être utilisées à des fins de chantage, de revente ou de collecte de données personnelles.