Le monde de la santé cible privilégiée des attaques : éléments d'explication

Madame Irma l’annonçait et malheureusement elle ne se trompait pas. Les demandes de rançon dans le milieu médical se multiplient depuis le début de l’année. En Californie, en Allemagne ou encore en France à Epinal, les infections par les malwares Dridex ou Locky ont touché certains hôpitaux qui ont payé pour pouvoir accéder à nouveau à leurs données. S’agit-il d’un épiphénomène ou d’une tendance de fond ? Pourquoi au-delà des hôpitaux, les données de santé sont-elles une cible privilégiée des pirates ?

L’attaque contre les hôpitaux

Comme je l’expliquais dans un précédent article, la mise à jour d’un système d’information médical est un problème complexe. Les matériels ayant une durée de vie assez longue, il est fréquent qu’ils soient pilotés par des logiciels reposant sur des OS obsolètes et non mis à jour. Ce qui rend les hôpitaux particulièrement vulnérables à toute attaque un peu sophistiquée.

Les blocages des hôpitaux par des ransomwares ne sont donc peut-être, et je l’espère, qu’un effet de bord. Dans les articles cités dans l’introduction, rien ne prouve que les hôpitaux aient été plus spécifiquement ciblés que des entreprises lambda. En revanche, en raison de l’aspect « always on » de l’activité hospitalière, l’interruption du système d’information peut s’avérer dramatique. D’où, peut-être, une incitation à payer les rançons demandées plus rapidement que dans les secteurs industriels, et une médiatisation supplémentaire. Cependant les moyens de lutter contre les campagnes d’infection sont les mêmes que pour toutes les victimes. En est-il de même pour les attaques contre les données de santé ?

Pourquoi les pirates s’attaquent-ils aux données de santé ?

Par données de santé, j’entends des données qui contiennent des informations médicales personnelles au sens large. Elles peuvent être conservées par les hôpitaux, mais aussi par des laboratoires indépendants, des cabinets médicaux, des mutuelles, des assurances, etc.

Disons-le tout net, l’attaque contre les données de santé n’est pas un épiphénomène. Dans son dernier rapport de sécurité Cisco note en page 25 que le domaine de la santé fait partie des 4 secteurs professionnels sur 22 les plus exposés aux attaques, et même le plus attaqué depuis l’automne 2015 (page 26). Selon le FBI, un numéro de carte de crédit se vendrait aux alentours de 1$ alors que des données de santé peuvent se vendre jusqu’à 50$. Une étude Bluecoat évoque même la somme de 300$ pour des données complètes incluant des données de santé.

Mais pourquoi les données personnelles de santé ont-elles autant de valeur ?

Tout d’abord, parce qu’elle combinent des données personnelles très sensibles et détaillées (la partie purement médicale), ainsi que des données administratives (adresse, numéro de sécurité sociale, mutuelle, etc.) De plus, il est vraisemblable que ces données soient parfaitement à jour, ce qui augmente encore leur intérêt pour les pirates. En ce qui concerne leur utilisation, selon BlueCoat, la forte valeur des données de santé peut servir à alimenter des campagnes de phishing ou des attaques en ingénierie sociale. McAfee, indique qu’en raison de leur richesse ces données médicales pourraient également être facilement exploitées pour usurper des identités, générer de nouveaux identifiants voire exercer du chantage. Websense / Raytheon valorise une attaque basée sur des données de santé jusqu’à 20 000 $ par victime contre seulement 2000 $ suite au vol d’un numéro de carte bancaire !

Si ces chiffres sont exacts on peut donc malheureusement estimer que les attaques contre les données médicales vont perdurer. J’espère, en revanche, qu’une fois prises les mesures de protection contre les ransomwares, les blocages des hôpitaux vont cesser rapidement.

Philippe