Covid-19 : Des attaques informatiques visent des hôpitaux et des agences sanitaires

Depuis que plusieurs gouvernements ont pris des mesures de confinement et de distanciation sociale [ou de confinement] face à l’épidémie de covid-19, il a été constaté une hausse sensible des faits de cybermalveillance, visant notamment à dérober, par hameçonnage, les informations personnelles de personnes confinées poursuivant leur activité professionnelle grâce au télétravail. De faux sites de ventes de masques chirurgicaux, de gel hydroalcoolique ou encore de téléconsultation médiale ont aussi été mis en ligne. Sans oublier les faux appels aux dons et les infox.

En France, le site cybermalveillance.gouv.fr, qui vient en aide aux victimes de tels actes, a reçu 400% de demandes d’assistance en plus et a vu son trafic décupler dès le 17 mars, soit 24 heures après l’annonce du président Macron relative aux mesures de confinement.

À la tête du groupe SecDev, Rafal Rohozinski, a observé un phénomène identique au Canada. « La situation actuelle représente une énorme occasion à saisir pour les escrocs en ligne » car les « systèmes informatiques du gouvernement fédéral et des entreprises n’ont jamais été conçus pour soutenir une migration soudaine et massive du personnel du bureau vers la maison », a-t-il expliqué à Radio Canada. « L’ouverture que cela crée pour ceux et celles qui veulent semer le chaos à l’aide de rançongiciels et de maliciels est très, très significative. Et je ne crois pas du tout que la société soit prête pour cela », a-t-il ajouté.

Cela étant, certaines attaques sont plus élaborées que d’autres. Ainsi, la semaine passée, les experts en cybersécurité de la société DomainTools ont mis en garde contre une application Android qui, assurant donner un suivi des personnes infectées par le coronavirus, verrouillait le téléphone de l’utilisateur avant de lui demander un paiement en bitcoins en échange d’un code.

Ce mode opératoire reposant sur « rançongiciel » a récemment été utilisé contre des collectivités territoriales françaises. En effet, la Métropole Aix-Marseille-Provence et la ville de Marseille en ont fait les frais peu avant le premier tour des élections municipales. Trois jours plus tard, l’Agence nationale de la sécurité des systèmes d’information [ANSSI] a publié un rapport sur cette attaque, estimant qu’elle semblait « compatible avec un acteur opportuniste motivé par un but lucratif. »

Mais en cette période délicate, le blocage des sites Internet institutionnels ne peut qu’être préjudiciable dans la mesure où cela est de nature à sermer de la confusion et de l’incertitude au sein d’une population qui a besoin d’être tenue informée. Certains de ces attaques ont le plus souvent des motivations d’ordre criminel.

Ainsi, l’Agence du numérique en Santé a récemment mis en garde contre « différents messages d’information sur le Covid-19 » qui, diffusés via « de faux e-mails des autorités de santé, de fausses notes internes en entreprise ou encore de fausses alertes de retard de livraison », cachent en réalité des « virus informatiques » élaborés par des « cybercriminels tentent dans le monde entier d’exploiter la peur liée à la pandémie pour s’infiltrer sur les réseaux informatiques des entreprises et des particuliers. »

Et l’alerte de l’agence française a également signalé que l’Organisation mondiale de la santé [OMS] avait alerté sur le cas de « fraudeurs » se faisant passer pour elle tout en recommandant de « ne pas cliquer directement sur les liens présents dans ses e-mails mais de se rendre directement sur son site web, de ne jamais transmettre un mot de passe pour avoir accès à des informations publiques et de vérifier l’adresse e-mail de l’expéditeur. »

Justement, ce 24 mars, l’agence Reuters a indiqué que des pirates informatiques avaient tenté de s’infiltrer dans la messagerie interne de l’OMS afin de voler les mots de passe de son personnel. À quelles fins?

Deux sources de l’agence britannique ont dit avoir des soupçons sur le groupe de pirate DarkHotel, jusqu’alors connu pour cibler les hôtels de luxe fréquentés par les hommes d’affaires et les responsables politiques. Ce que l’entreprise russe de sécurité informatique Kapersky n’a pas confirmé. En revanche, selon elle, une « même infrastructure Web malveillante a également été utilisée pour cibler d’autres organisations humanitaires et de soins de santé au cours de ces dernières semaines. »

« Dans des moments comme celui-ci, toute information sur les traitements, tests ou vaccins liés au coronavirus serait inestimable et la priorité de toute organisation de renseignement d’un pays affecté », a fait valoir Costin Raiu, chef de recherche chez Kaspersky.

Enfin, des attaques informatiques contre les agences sanitaires et les sites institutionnels sont susceptibles d’avoir d’autres visées. Ainsi, le chef d’état-major des forces armées canadiennes, le général Jonathan Vance, a dit avoir des « raisons de penser que des adversaires avaient l’intention d’exploiter l’incertitude, la confusion et la peur générée par la pandémie au pays » via de tels procédés. Le 4 mars, lors de la Conférence d’Ottawa sur la sécurité et la défense, il avait désigné les « adversaires » susceptibles de se livrer à de tels actes.

« La menace militaire la plus immédiate parrainée par l’État, si je puis m’exprimer ainsi, à laquelle nous sommes confrontés en ce moment est, dans l’espace physique, la Russie. Je dirais que la Chine représente actuellement une menace plus crédible dans le cyberespace », avait ainsi affirmé le général Vance.

En tout cas, ceux qui ont lancé une attaque de déni de service [DDoS] contre le système informatique de l’Assistance publique – Hôpitaux de Paris [AP-HP], le 22 mars, n’étaient visiblement pas motivés par l’argent. Selon l’Express, qui a révélé cette information, l’accès à Internet de certains services a dû être coupé, ce qui a perturbé les visio-conférences et le télétravail du personnel. Et il a été fait appel à l’ANSSI pour contrer cet assaut.

Pour rappel, l’AP-HP est en première ligne face à l’épidémie de Covid-19, l’Île-de-France étant la région française la plus touchée, avec plus de 6.211 [au 23 mars]. A priori, cette attaque DDoS, qui consiste à submerger un serveur informatique de requêtes inutiles afin de le rendre inopérant, autait été conduite depuis un « pays extérieur à l’Europe » [ce qui est généralement le cas, ndlr].

D’autres hôpitaux et agence sanitaires ont été victimes du même procédé. Comme, par exemple, celui de Brno [République tchèque], le 13 mars dernier. Ou encore comme celui du département américain de la Santé [DHHS], trois jours plus tard.

« L’incident semblait être un effort particulièrement agressif, quoique quelque peu conventionnel, pour analyser les réseaux du département à la recherche de vulnérabilités et peut-être pour tenter de pénétrer son système de messagerie. Mais alors que cette action a déclenché des alarmes, compte tenu de la sensibilité autour des travaux sur le coronavirus, les responsables ont déclaré qu’ils ne pouvaient pas déterminer si l’action était le résultat d’acteurs étrangers ou simplement de pirates qui saisissaient le moment pour créer le chaos », a résumé le New York Times.

En tout cas, le département américain de la sécurité intérieure et les agences de renseignement sont sur le qui-vive, les systèmes informatiques des laboratoires, des chaînes d’approvisionnement en produits médicaux, des hôpitaux ainsi que ceux des Centres pour le contrôle et la prévention des maladies font désormais partie de l’infrastructure « critique » des États-Unis, au même titre que les réseaux de distribution électrique et d’eau.

Conformément à l'article 38 de la Loi 78-17 du 6 janvier 1978 modifiée, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant. [Voir les règles de confidentialité]