Cyberattaque à l'hôpital de Corbeil-Essonnes : "On est toujours dans une phase de négociation" entre la direction et les pirates, explique un expert

Les pirates informatiques veulent "mettre la pression" sur l’hôpital de Corbeil-Essonnes, a expliqué mardi 4 octobre sur franceinfo Vincent Trely, expert en cyber-sécurité, président de l’Association pour la Sécurité des Systèmes d’information de Santé, alors que la cellule d’investigation de Radio France révèle que des données très confidentielles de patients de l’hôpital public ont été publiées sur internet. "On est toujours dans une phase de négociation", ajoute Vincent Trely.

>>> Cyberattaque à l'hôpital de Corbeil-Essonnes : avec le retour forcé du papier et du stylo, le quotidien compliqué des équipes de soignants

Le 23 septembre dernier, les hackers qui ont attaqué l’hôpital de Corbeil-Essonnes, ont divulgué sur le darknet une partie des données piratées. Il s’agit des comptes rendus nominatifs de coloscopie et d'accouchement.

Les patients doivent-ils s’inquiéter ?

Forcément, les données personnelles, c'est quelque chose d'intime. Les collecteurs de données personnelles, c'est-à-dire les hôpitaux, les médecins libéraux, l'assurance maladie doivent en assurer l'absolue confidentialité. Donc, oui, ce n'est pas très agréable.

Quelle est la volonté de ces pirates ?

La volonté des pirates informatiques, c'est de mettre la pression sur l'hôpital puisqu’on a affaire avec Corbeil-Essonnes à un cas d'école, c'est-à-dire une intrusion dans le système d'information qui exfiltre des données de santé. Et puis ensuite, déclenche un virus qui bloque le système informatique. On demande une rançon. La rançon n'est pas payée. Donc, on entame le deuxième étage de la fusée :"Vous ne voulez pas payer la rançon et débloquer votre système ? En plus de ça, on vous a volé des données de santé. Il y a les noms de vos patients. Vous payez la rançon, sinon on va les diffuser". L’Hôpital refuse toujours de payer la rançon. Donc il y a un début de diffusion des données. Ça s'appelle mettre la pression. On est toujours dans une phase de négociation.

Les pirates informatiques peuvent-ils négocier directement avec les patients ?

Si, à un moment donné, les relations et les discussions avec le centre hospitalier n'aboutissent pas, effectivement, les pirates peuvent envisager ce qui avait été fait en Finlande après l'exfiltration de données d'un groupe de cliniques de psychiatrie, de prendre directement contact avec les patients pour les faire chanter à hauteur de 300, 400 ou 500 euros, en menaçant de révéler des informations de santé les concernant, les déposer sur les réseaux sociaux, et les révéler à leurs proches. Toutes les informations de santé ne se valent pas. Le compte rendu opératoire de la mise d'une prothèse au genou ou d'un problème de dermatologie n'a pas le même impact social, bien évidemment qu'une révélation concernant un cancer ou un problème psychiatrique lié à un burn-out ou un problème de schizophrénie qui se traite théoriquement dans la plus grande confidentialité.

Est-il facile d’avoir accès à ces données dans le darknet ?

Il y a peu de gens qui ont la technicité pour se rendre sur le darknet. Ça reste quelque chose d'assez ésotérique, tout de même. On est sur de l'underground du Web, il y a un protocole particulier de navigation. On n'est pas sur l'internet du haut, donc on n'a pas de moteur de recherche de type Google pour faire des recherches. Donc, c'est un peu plus compliqué. Pour autant, c'est un espace public. N'importe qui peut s'y rendre. Donc, c’est tout aussi pénible et tout aussi ennuyeux que si c'était sur le web normal. Mais pour le moment, cela ne traîne pas sur les réseaux sociaux, ce n’est pas trouvable par des moteurs de recherche traditionnels. Donc, on est encore dans une relation entre le preneur d'otages et l'otage qui consiste à mettre fortement la pression dans l'espoir, évidemment, que même si la rançon initiale ne sera jamais payée, un bout de cette rançon finit par éventuellement être payé.