Cyberattaque à Corbeil-Essones : le GIGN appelé en renfort pour négocier avec les cybercriminels

Cybersécurité, Les autorités se donnent les moyens, au niveau national, après les attaques de plusieurs établissements de santé, conformément au plan présenté par notre président de la république en février 2021.

Cyberattaque à Corbeil-Essones : le GIGN appelé en renfort pour négocier avec les cybercriminels. Le Centre hospitalier Sud Francilien (CHSF), à Corbeil-Essonnes, est visé depuis le dimanche 21 août par une attaque de ramsoware qui a paralysé une bonne partie de ses systèmes informatiques et causant une forte perturbation de ses services.

Une demande de rançon de 10 millions de dollars, formulée en anglais, a été exigée par les hackers pour le déblocage des SI et la non divulgation sur Internet des données sensibles prises en otage.

Deux semaines après cette cyberattaque et déjà plus de 2 millions d’euros de préjudice pour l’hôpital de Corbeil,et l’on apprend que des gendarmes d’élite du GIGN, spécialistes des négociations et des situations de crise, auraient depuis une semaine rejoint les experts en cybercriminalité mobilisés sur l’affaire pour leur prêter  de l’aide.

Dans cette affaire, la mission du GIGN consisterait surtout à entamer et maintenir les négociations avec le groupe de pirates auteur de l’attaque dans le but de gagner du temps et d’obtenir le plus d’informations possibles permettant leur localisation.

Cyberattaque à Corbeil-Essones : le GIGN appelé en renfort pour négocier avec les cybercriminels, les autorités emploient les grands moyens. Selon Le Parisien, ils auraient déjà réussi à faire baisser la rançon demandée de 10 à 1 million de dollars, détaillons les éléments connus dans le présent article, pour en savoir plus.

Cyberattaque à Corbeil-Essonnes : la somme de la rançon demandée divisée par dix

Appelés pour prêter main-forte aux experts en cybersécurité, cela fait déjà une semaine que des gendarmes du GIGN (Groupe d’intervention de la gendarmerie nationale) sont en négociation avec les cybercriminels qui ont attaqué l’hôpital de Corbeil-Essonne, affirme Le Parisien. L’identité de ces derniers serait déjà connue et il s’agirait du groupe d’attaquants russophones LockBit, qui tire son nom du ransomware Lockbit 2.0.

Toujours selon les informations du quotidien, les communications avec les hackers se font via ProtonMail, une messagerie web chiffrée qui se distingue des autres messageries grand public par son chiffrement de bout en bout. Le travail des gendarmes d’élite du CIGN avancent bien, car ils auraient déjà réussi à convaincre les attaquants de baisser la rançon à 1 million de dollars, soit dix fois moins que la rançon initialement réclamée.

Seulement, les responsables au sein du Centre Hospitalier Sud Francilien ont d’ores et déjà indiqué qu’ils ne payeront pas, comme le recommande les autorités. « Même s’ils nous demandent 150.000 euros, nous ne paierons pas ! C’est la règle qui a été établie », a affirmé Medhy Zeghouf, président du Conseil de surveillance du CHSF au micro des journalistes du Parisien.

Plus tard, le ministre de la Santé François Braun confiera aussi à BFMTV que le gouvernement a refusé toute possibilité de verser l’argent demandé par les pirates.

Le GIGN est là uniquement pour en savoir un peu plus sur les hackers

Si depuis le début les autorités responsables de l’enquête savaient déjà qu’il était hors de question pour les responsables de l’hôpital Corbeil-Essonnes et le gouvernement de payer la rançon et ce quel que soit le montant exigé, on peut alors se poser la question : s’agit-il d’une réelle tentative pour faire baisser la rançon ou d’une tactique pour gagner du temps et en apprendre davantage sur les attaquants et leurs techniques ?

Les hommes du GIGN se sont confiés à bfmtv qu’ils maintiennent les négociations et font en sorte qu’elles durent le plus longtemps possible dans l’espoir que les hackers fassent à un moment donné des erreurs qui pourraient permettre leur localisation.

« Les hackers se relaient aussi et on peut espérer qu’à un moment ils oublient, par exemple en pleine nuit, de remettre le VPN qui permet de cacher leur localisation », ont-t-ils déclaré.

Les négociateurs du GIGN sollicités pour leur expertise en matière de négociation

Opérations reportées, malades transférées, visites perturbées, plus de 2 millions d’euros de préjudice… Sans les dossiers informatiques des patients aussi rien ne va plus dans l’hôpital de Corbeil ! Plusieurs jours après l’attaque, la crise est telle que le GIGN est sollicité.

Mais qui sont les GIGN ? On est davantage à le voir intervenir sur les prises d’otage ou les attaques terroristes, mais ces négociateurs sont régulièrement appelés en renfort dans le cadre de piratage informatique. Ils interviennent surtout lorsqu’il y a des demandes de rançon, selon Le Parisien. Ils auraient développé cette capacité depuis quelques années maintenant, en tant que spécialiste des enlèvements et des séquestrations.

Dans cette affaire de cyberattaque qui a ciblé l’hôpital de Corbeil, leur objectif est de gagner du temps pour permettre la restauration et la protection des données des patients que les hackers menacent de divulguer. Et aussi comme évoqué plus haut, il s’agit aussi de faire durer les négociations dans l’espoir que les hackers fassent des erreurs qui révèleraient leur localisation.

Enfin, les éléments du GIGN seraient spécialement formés pour évoluer d’un milieu à un autre, comme celui du cyber, explique un connaisseur.

Contre la cybercriminalité, le rôle discret du GIGN

Cela fait maintenant plusieurs années que le GIGN s’engage sur des missions de sécurité et de protection. Ces deux dernières années, le groupe du GIGN est intervenu sur « 10 à 20 » négociations numériques liées à des rançongiciels, a expliqué le général de division Marc Boget, commandant de la gendarmerie dans le cyberespace plutôt cette année, en mai 2022 lorsqu’il a été entendu par des journalistes à l’AFP.

En septembre 2020, le réseau informatique de l’armateur de porte-conteneurs français CMA-CGM a été la cible d’une cyberattaque dirigée par le groupe de hackers « Ragnar Locker ». Ces derniers ont réclamé à l’armateur la somme colossale de 60 millions d’euros. Comme c’est souvent le cas, dès qu’il y a une demande de rançon, le GIGN est sollicité. Lors de cette affaire, la négociation menée par Groupe d’intervention de la Gendarmerie nationale aurait permis d’obtenir des indices essentiels pour l’enquête.

Xavier, chef de la cellule négociation du GIGN a expliqué ce jour-là aux journalistes de l’AFP que les négociations avec les hackeurs se déroulent quasi-exclusivement par écrit et le plus souvent sur le réseau chiffré Tor avec une durée qui peut aller de quelques heures à des dizaines de jours. Il a aussi précisé que les hommes du GIGN ne sont pas le genre de professionnels à taper des lignes de codes, ils interviennent surtout en tant que négociateurs.

Le groupe de hackers « LockBit » serait à l’origine de l’attaque

Selon Le Parisien, le Centre Hospitalier Sud-Francilien a été victime d’une cyberattaque de type ransomware du nom de « LockBit ». Comme tout ransomware, LockBit est un logiciel malveillant qui bloque l’accès aux outils informatiques et aux données en les chiffrant. En échange de la clé de décryptage, les hackers réclament le paiement d’une rançon.

Une fois lancé sur un réseau informatique, généralement véhiculé par mail via des pièces jointes malveillantes, LockBit s’exécute automatiquement et commence par analyser les ressources importantes accessibles sur le réseau de l’entreprise. Il propage ensuite l’infection et chiffre tous les systèmes informatiques du réseau pour les rendre inaccessibles pour les utilisateurs.

Mais « LockBit », c’est aussi le nom du groupe de hackers d’origine russophone qui a mis au point le ransomware du même nom. Voilà pourquoi les enquêteurs pensent que le groupe d’attaquants LockBit est derrière cette attaque qui a ciblé le Centre Hospitalier Sud-Francilien, même en l’absence de revendication.

Aimant être sous les projecteurs, le groupe de hackers LockBit a pour information déjà revendiqué plusieurs attaques ciblant des entreprises ou institutions françaises, comme l’attaque qui a touché Schneider Electric fin 2020, celle qui a touché la mairie de Saint-Cloud le 21 janvier 2022 ou encore celle qui a paralysé le ministère de la Justice le 27 janvier 2022.

LockBit :  renforce ses défenses pour contrer :  forces de l’ordre et chercheurs

Selon un rapport de Digital Shadows, une société de cybersécurité basée à San Francisco aux États-Unis, rien qu’au troisième trimestre 2021, le ransomware LockBit a fait 203 victimes dans le monde, plaçant le groupe parmi plus actifs à cette époque.

Mais c’est vraiment après la dissolution en mai 2022 du groupe de hackers Conti que le groupe LockBit a vraiment gagné en confiance, après avoir accueilli beaucoup de nouveaux membres et s’est imposé comme le premier groupe ransomware en activité.

Le ransomware LockBit est actuellement la menace la plus suivie de près par les experts en cyber sécurité dans le monde. Et pour cause, tout récemment, le groupe LockBit a apporté des améliorations majeures à ce logiciel malveillant en sortant sa version 3, qui est en tout point plus performante que les précédentes.

Selon le site Bleeping computer, LockBit 3.0 introduirait un programme de bug bounty qui invite les chercheurs en sécurité du monde entier à soumettre des rapports de bogues identifiés sur la nouvelle version du ransomware en échange de récompenses comprises entre 1 000 et 1 million de dollars. Le but étant de mettre en place un programme malveillant qui présente le moins de failles possible.

Les autorités s’activent pour renforcer la cybersécurité des établissements de santé

Lors d’une visite à l’hôpital de de Corbeil-Essonnes le 26 août dernier, le ministre de la Santé, François Braun a annoncé l’affectation de 20 millions d’euros supplémentaires à la cybersécurité des établissements de santé. Cet argent va s’ajouter aux 136 millions d’euros dont dispose déjà l’Agence nationale de la sécurité des systèmes d’information dans le cadre plan national sur la cybersécurité présenté par Emmanuel Macron en février 2021, après l’attaque de plusieurs hôpitaux.

Une partie de ce financement servira à aider les établissements de santé dans la réalisation des « audits » puis à « apporter un accompagnement technologique et humain », a expliqué le ministre délégué de la Transition numérique pendant qu’il était en visite à l’hôpital de de Corbeil-Essonnes accompagné de François Braun.

Quant à l’autre partie, elle sera allouée à « la création d’un observatoire permanent sur la cybersécurité des établissements de santé, la sensibilisation à la cybersécurité dans les formations du personnel de santé, la montée en puissance du service national de cybersurveillance en santé », comme l’a annoncé le président de la République en février 2021.

Auteur Antonio Rodriguez Editeur et Directeur de Clever Technologies