Les hackers avaient fixé un ultimatum au Centre hospitalier sud-francilien (CHSF) de Corbeil-Essonnes cyberattaqué le 21 août : payer une rançon au 23 septembre. Le délai expiré, ils ont commencé à diffuser une série de données, a indiqué dimanche 25 septembre une source proche du dossier à l’Agence France Presse (AFP), confirmant une information du site spécialisé Zataz .
Les hackers ont diffusé ainsi plus de 11 GO de contenus sensibles. Ce piratage serait l’œuvre du groupe LockBit 3.0, qui a déjà ciblé de nombreuses autres entreprises, selon Zataz.
Numéros de Sécu, résultats d’examens…
Les données diffusées par les hackers « semblent concerner nos usagers, notre personnel et ainsi que nos partenaires », a annoncé ce dimanche l’hôpital. Parmi les données divulguées sur le site des cyberattaquants figurent potentiellement « certaines données administratives », dont le numéro de Sécurité sociale, et « certaines données santé telles que des comptes rendus d’examen et en particulier des dossiers externes d’anatomocytopathologie, de radiologie, laboratoires d’analyse, médecins », précise l’établissement.
« Les bases de données métiers du CHSF, parmi lesquelles figurent les dossiers personnalisés des patients (DPI) et les dossiers relatifs à la gestion des ressources humaines, n’ont pas été compromises », a ajouté l’établissement dans un communiqué. « L’attaque semble avoir été circonscrite aux serveurs virtuels et à une partie seulement de l’espace de stockage du CHSF (environ 10 %) », détaille-t-il également.
Des admissions réduites aux urgences
Ce groupe de hackers avait orchestré la cyberattaque le 21 août contre le système informatique de cet hôpital, qui assure la couverture sanitaire de près de 700 000 habitants au sud de Paris. « Nous travaillons en mode dégradé, pas pour le patient, mais pour nous », avait alors indiqué la direction, avec un retour du travail « à la main ». Les patients relevant « de plateaux techniques sévères » étaient « réorientés par le Samu vers d’autres hôpitaux ».
« C’est une cyberattaque comme malheureusement il y en a dans l’ensemble des établissements, […] comme il y en a régulièrement malheureusement. Nous ne céderons pas », avait alors déclaré François Braun, le ministre de la Santé.
Près de deux semaines plus tard, début septembre, les conséquences de l’attaque sur le réseau informatique continuaient, notamment, à contraindre l’hôpital à ne prendre en charge que la moitié des patients habituellement admis aux urgences.
Une demande de rançon de 10 millions de dollars
Le chantage s’est lui poursuivi, avec cet ultimatum. « Il s’agit d’une double extorsion, consistant à exfiltrer une partie des données volées pour mettre la pression sur les victimes. C’est un classique », a expliqué à l’AFP un spécialiste du cyberespace. Dans un premier temps, la rançon avait été fixée à 10 millions de dollars (10 millions d’euros). Elle aurait été ramenée ensuite à un million de dollars, selon plusieurs sources concordantes.
Selon Zataz, les pirates réclameraient désormais à l’hôpital « 2 millions de dollars (1 million pour détruire les donnes volées et un million pour rendre l’accès aux informations via leur logiciel dédié) ». La cyberattaque lancée en août a touché les logiciels métiers, les systèmes de stockage ou encore le système d’information ayant trait aux admissions de la patientèle de l’établissement, les rendant inaccessibles.
L’enquête, ouverte par le parquet de Paris et confiée aux gendarmes du Centre de lutte contre les criminalités numériques (C3N), est en cours. L’hôpital a porté plainte et saisi la Commission nationale de l’informatique et des libertés (CNIL). L’Autorité nationale en matière de sécurité et de défense des systèmes d’information (Anssi) est aussi saisie.
Une vague de cyberattaques vise depuis environ deux ans le secteur hospitalier français et européen. En 2021, l’Anssi relevait en moyenne un incident par semaine dans un établissement de santé en France.