CHU Rouen
https://twitter.com/zigazou/status/1269889177178574852
Ce thread a pour but de sensibiliser sur la problématique de la sécurité informatique en racontant un exemple réel proche dans le temps et l’espace : la cyberattaque dont a été victime le CHU de Rouen en novembre 2019 Cyberattaque au CHU de Rouen
Tout a commencé pour nos protagonaistes le vendredi 15 novembre 2019. Vendredi 15 novembre 2019
Au moment où une bonne partie du personnel du CHU de Rouen était partie en week-end (c’est un hôpital, il reste toujours du personnel) Une veille de weekd-end, 19h, Deux collaborateurs s’en vont et l’une dit « Ah ! Enfin le week-end »
Vers 19h35 du personnel soignant contacte l’assistance téléphonique pour des problèmes d’accès à leurs applications métiers. Ça ne marche pas ! Une infirmière dit « Je ne peux plus me connecter ! », l’assistance téléphonique lui répond « Avez-vous essayé de redémarrer votre ordinateur ? »
Constatant l’impossibilité de se connecter aux applications, l’assistance téléphonique remonte le problème aux équipes techniques. Escalade de la hotline à la technique, 19h40, l’assistance téléphonique dit « L’appli métier ne répond plus » et l’équipe technique répond « C’est pas normal, je regarde ça »
Très rapidement l’équipe technique détecte une attaque et implique le directeur du SI. Attaque détectée, 19h45, l’équipe technique dit « ON EST ATTAQUÉ ! » et tire la sonnette d’alarme
Suspectant une activité frauduleuse depuis internet, le réseau du CHU de Rouen est entièrement coupé d’internet vers 20h. Coupure d’internet, 20h, un technicien retire un câble réseau d’une planète symbolisant internet
Au même moment est ouverte la cellule de crise où la décision est prise de rappeler une vingtaine de personnes pour faire face à l’attaque. Ouverture d’une cellule de crise, 20h, dans une réunion une personne dit « Il nous faut des renforts » et une autre lui répond « Je rappelle 20 personnes ».
Vers 21h30, la cellule de crise prend contact avec le Ministère, l’Anssi et la Cnil. L’Anssi, notamment, dépêchera des experts en renfort. Paris, nous avons un problème, 21h30, la cellule de crise dit « Allo le Ministère ? La Cnil ? L’Anssi ? On est attaqué ! » et l’administration répond « Ok ! On est sur le coup ! »
Aux alentours de 22h, l’attaque a été identifiée : il s’agit d’un rançongiciel. Attaque identifiée, 22h, un inspecteur regarde dans sa loupe et dit « C’est un rançongiciel », un virus lui répond « Hé ! On n’a pas gardé les bugs ensemble ! »<br />
À partir de 22h, les agents rappelés commencent à se déployer sur le terrain pour rassurer le personnel et relayer les problèmes rencontrés. Déploiement d’agents sur le terrain, 22h, un agent dit « C’est la galère, mais on est là pour vous aider » et une infirmière répond « Ok ! Comment je fais sans mon ordinateur ? »
À minuit, la décision est prise de couper tout le réseau ! Plus un seul ordinateur, plus une seule imprimante ne communique. Coupure de tout le réseau ! Minuit, des ciseaux coupent tous les câbles réseaux tandis qu’un virus dit « Comment je circule maintenant ? »
Toujours vers minuit, une dizaine de personnes arrive en renfort. Des renforts supplémentaires, minuit, un agent dit « On est 10, on vient en renfort » et un autre lui répond « C’est pas de refus ! »
À partir de maintenant, tout le personnel, soignant ou administratif, doit revenir au stylo et au papier. Le téléphone est le seul accessoire moderne encore accessible car il fonctionne sur un réseau totalement distinct. Back to the paper, minuit, une infirmière dit « Ça va pas être simple ! » entre du matériel informatique qu’elle doit oublier et un téléphone, un carnet et des stylos
La DSI va passer son week-end à remettre en route les services critiques. Le mardi, 60 à 70% des applications ont été restaurées. Une enquête est ouverte dès le lundi. Les jours suivants, la DSI est sur le pont. Samedi : priorité aux services critiques avec des agents en coordination sur le terrain. Dimanche : les service critiques fonctionnent à minima. Lundi : c’est au tour des services administratifs. Mardi : 60 à 70% des applications sont restaurées mais il n’y a toujours d’internet sur les postes de travail.
10 jours plus tard, le personnel n’a toujours pas accès à internet sur son poste de travail. 10 jours plus tard, toujours pas d’internet. Plus de lolcat, de YouTube, de Facebook… donc plus d’intrusion ! Mais aussi plus de SaaS, de PaaS…
Le CHU a donc été victime d’un rançongiciel Un rançongiciel
Un rançongiciel chiffre les fichiers d’une machine, vous demandant de verser une rançon pour les déchiffrer. Il se répand sur votre réseau et les pirates peuvent même aller jusqu’à communiquer pour vous. Rançongiciel, ransomware, cryptolocker… Il chiffre vos fichiers avec un chiffrement asymétrique très costaud. Vous payez pour les déchiffrer, 1 bitcoin par machine… à 7500 euros le bitcoin en novembre 2019. Il se répand sur votre réseau pour que les collègues en profitent. Les pirates communiquent à votre place au cas où vous voudriez rester discrets.
Quand vous lisez un message, généralement en anglais, vous demandant de payer une rançon avec des caractères incompréhensibles représentant une clé numérique, il est trop tard. Il est trop tard quand vous lisez ceci. Un écran affiche le message en anglais « Hello Martin, Your network was hacked and encrypted. No free decryption software is available on the web. Email us to get the ransom amount. » Le message est suivi d’une clé numérique.
Comment un rançongiciel peut-il débarquer chez vous ? Où est la faille ? S’agit-il d’une pièce jointe dans un mail ? D’un compte utilisateur sur le marché noir ? D’une sécurité insuffisante ? Probablement un mélange des trois ! Où est la faille ? Une pièce jointe dans un mail ? (hameçonnage, phishing). Un compte utilisateur sur le marché noir ? (mot de passe trop faible, utilisé plusieurs fois…). Une sécurité insuffisante ? (forte sécurité vs utilisation quotidienne)
Oubliez les films dans lequels des hackers sont capables de pirater un réseau en quelques minutes à peine à l’aide de deux ou trois commandes tapées au clavier. Une attaque se prépare ! Une attaque se prépare
Clop, le rançongiciel utilisé contre le CHU, apparaît en février 2019. S’il chiffre fortement les fichiers, il nécessite en revanche une intervention humaine pour se propager. Février 2019, le mois de février est mis en évidence sur un calendrier. Première apparition de Clop (rançongiciel utilisé contre le CHU). Chiffre fortement les fichiers (mais nécessite une intervention humaine pour se propager)
De février à septembre 2019, des sites web spécialisés sont piratés (Symposium Veith, Cogrès EFIC, Hospitalier point net, France pathologie…). Des données sensibles fuitent comme des adresses email et des mots de passe. Avant septembre 2019, les mois de février à août 2019 sont mis en évidence sur un calendrier. des sites web spécialisés sont piratés (Symposium Veith, Congrès EFIC, Hospitalier point net, France pathologie…). Des données sensibles fuitent (adresses email, des mots de passe).
De juin à novembre 2019, une forte activité du groupe de pirates TA505 est détectée. En 6 mois, il orchestrera plus de 9 campagnes d’attaques contre des groupes financiers et des hôpitaux. C’est une PME de la cybercriminalité existant depuis 2014. De juin à novembre 2019. Les mois de juin à novembre 2019 sont mis en évidence sur un calendrier. Forte activité de TA505 (aka SectorJ04 Group, GRACEFUL SPIDER, GOLD TAHOE…), groupe russe ou russophone actif depuis 2014. Plus de 9 campagnes d’attaques (groupes financiers, hôpitaux…). PME de la cybercriminalité (oubliez le mythe du jeune génie isolé)
Le 7 septembre 2019, un expert de Zataz alerte les autorités (Anssi, Cnil, Ministère) car il a découvert des comptes vendus au marché noir. Des comptes d’agents du CHU de Rouen en font partie. 7 septembre 2019. La date est mise en évidence sur un calendrier. Un expert de Zataz alerte les autorités (Anssi, Cnil, Ministère des Affaires Sociales). Comptes vendus au marché noir (adresses email, mots de passe). CHU de Rouen concerné.
Le 16 octobre 2019, le groupe TA505 lance une campagne d’hameçonnage massive mais non ciblée. Les mails envoyés contiennent un logiciel malveillant en pièce jointe. 16 octobre 2019. La date est mise en évidence sur un calendrier. Campagne d’hameçonnage (massive, non ciblée). Orchestrée par TA505. Logiciel malveillant en pièce jointe.
Début novembre 2019, le groupe TA505 a déjà pénétré le réseau du CHU de Rouen. Cette intrusion passe cependant sous les radars afin de préparer la future attaque d’autant que Clop doit être propagé manuellement. Début novembre 2019. Les deux premières semaines sont mises en évidence sur un calendrier. TA505 dans le réseau du CHU. Phase de propagation manuelle (Clop ne sait pas se propager seul !). Utilisation de logiciels malveillants (ServHelper backdoor, FlawedAmmyy, Cobalt Strike). En toute discrétion…
Le 15 novembre 2019, à une heure propice, le groupe TA505 lance le chiffrement. Les applications métier tombent les unes après les autres. Vous connaissez la suite ! 15 novembre 2019. La date est mise en évidence sur un calendrier. À une heure propice, en début de soirée, la veille d’un week-end. TA505 lance le chiffrement. Les applis métiers ne répondent plus. Vous connaissez la suite !
Face à ce genre d’attaque, quels sont les bons gestes ? Que ce soit pour prévenir ou pour guérier ? Quels sont les bons gestes ?
Ce qui a sauvé le CHU : les sauvegardes ! Mais aussi l’incapacité du malware à se propager seul, l’hétérogénéité du SI, la réactivité du service informatique, le cloisonnement du réseau et les postes éteints. Ce qui a sauvé le CHU. Sauvegardes : elles ont permis de ne perdre aucune donnée. Incapacité du malware à se propager seul. Hétérogénéité du SI : le malware préférait Windows. Réactivité du service informatique. Cloisonnement du réseau, postes éteints (a limité la propagation du rançongiciel)
Bons gestes : méfiez des mails (nom de l’expéditeur, pièces jointes, demandes d’infos confidentielles, liens), ne partagez pas votre carnets d’adresses, votre compte pro doit reste pro. Bons gestes 1/2 : méfiez des mails (nom de l’expéditeur, pièces jointes, demandes d’infos confidentielles, liens), ne partagez pas votre carnets d’adresses, votre compte pro doit reste pro.
Bons gestes : éteignez votre ordinateur, n’introduisez pas d’éléments extérieurs (pas de PC perso sur un réseau pro, pas de clé perso ou trouvée par terre, pas d’appli perso sur le téléphone pro), ne prêtez pas votre matériel pro. Bons gestes 2/2 : éteignez votre ordinateur, n’introduisez pas d’éléments extérieurs (pas de PC perso sur un réseau pro, pas de clé perso ou trouvée par terre, pas d’appli perso sur le téléphone pro), ne prêtez pas votre matériel pro.
N’oubliez jamais que PERSONNE N’EST À L’ABRI N’oubliez jamais que PERSONNE N’EST À L’ABRI
Si vous avez un doute au sujet d’un mail suspect, d’une alerte sécurité, d’un PC bloqué, contactez votre DSI, elle est là pour ça ! Même si c’est pour vous entendre dire qu’il n’y a pas de problème. Un doute ? Un mail suspect ? Une alerte sécurité ? Un PC bloqué ? Qui appelle-t-on ? Appelez votre DSI !
Pour celles et ceux qui veulent approfondir, je me suis basé sur les sources suivantes : docs.google.com/spreadsheets/d…
Attachments
- 1.jpg (128kb)
- 10.jpg (40.1kb)
- 11.jpg (53.8kb)
- 12.jpg (55.5kb)
- 13.jpg (49.6kb)
- 14.jpg (40.4kb)
- 15.jpg (67.9kb)
- 16.jpg (46.9kb)
- 17.jpg (15.1kb)
- 18.jpg (68.6kb)
- 19.jpg (70.5kb)
- 2.jpg (19.2kb)
- 20.jpg (48.2kb)
- 21.jpg (17.2kb)
- 22.jpg (57.7kb)
- 23.jpg (81.2kb)
- 24.jpg (86.3kb)
- 25.jpg (56.3kb)
- 26.jpg (55.5kb)
- 27.jpg (59.8kb)
- 28.jpg (57.7kb)
- 29.jpg (19.0kb)
- 3.jpg (28.0kb)
- 30.jpg (58.7kb)
- 31.jpg (47.7kb)
- 32.jpg (55.2kb)
- 33.jpg (44.5kb)
- 34.jpg (57.2kb)
- 4.jpg (41.7kb)
- 5.jpg (45.9kb)
- 6.jpg (44.7kb)
- 7.jpg (37.1kb)
- 8.jpg (48.3kb)
- 9.jpg (49.3kb)
