Coronavirus : quand des hackers ont du cœur !

Face à la recrudescence ces dernières semaines de cyberattaques dans les établissements de santé, Yogosha, 1ère plateforme privée en France de bug bounty a lancé un appel auprès de sa communauté, pour venir en aide aux centres hospitaliers français. Une vingtaine de hackers ont répondu présents et travaillent bénévolement depuis un mois pour identifier et corriger à tous les niveaux ces vulnérabilités : systèmes d’information, sécurité physique des bâtiments, matériels médical connectés… Brice Augras, responsable du pôle Cybersécurité du Groupe Asten et ses équipes participent à cette initiative unique en France.

Chaque année, Yogosha et sa communauté de chercheurs éthiques en sécurité organisent bénévolement un programme de cybersécurité auprès d’ONG. Nommé Hack4Values, il permet aux ONG d’identifier et de corriger les failles de sécurité présentes sur leurs technologies avant qu’elles puissent être exploitées à des fins malveillantes. Ont pu notamment en bénéficier Amnesty International ou Communication sans frontières.

« Des individus profitent de cette période de crise sanitaire pour lancer des cyberattaques contre les centres hospitaliers. Le recours ces dernières semaines au télétravail et aux outils collaboratifs dans ces établissements a facilité la multiplication de ces actes malveillants. Nous avons donc décidé de mobiliser notre communauté autour de cette problématique. Sachant que certains de nos membres nous avaient alertés spontanément sur ce sujet et souhaitaient agir », explique Yassir KAZAR, PDG et Co Fondateur de Yogosha.

Identifier et remédier aux failles

La vingtaine de chercheurs bénévoles intervient à distance sur les systèmes à auditer : site internet, accès distant, VPN SSL pour les prestataires et les salariés, Accès WAN jusqu’au firewall, systèmes métiers, accès aux données patients, systèmes de télémédecine, accès aux objets connectés/IoT (respirateurs, scanners, etc), systèmes industriels (restauration, blanchisserie), etc.

Lorsqu’un hacker identifie une vulnérabilité, il rédige un rapport sur la plateforme avec un descriptif et des recommandations pour la corriger. Le chercheur accompagne ensuite l’établissement dans la lecture des rapports et à organiser les correctifs. En cas de questions, un système de messagerie a été mis en place. Une fois le correctif appliqué, le centre hospitalier peut demander au chercheur un « retest » pour le valider.

Le centre hospitalier mémorial de Saint-Lo fut l’un des premiers à intégrer le programme

Les établissements de santé et tout particulièrement les hôpitaux sont devenus des cibles pour certains cybercriminels. Le CHU de Rouen, le 15 novembre 2019 ou l’APHP le 22 mars dernier, en pleine crise sanitaire du COVID19, en sont des exemples.

C’est un sujet essentiel et majeur pour nous, en tant qu’hébergeur de données de santé. Données particulièrement sensibles, elles sont recherchées par les cybercriminels. Le système d’information d’un hôpital est devenu un élément indispensable pour assurer la qualité des soins. Sans système d’information, le fonctionnement d’un établissement de santé peut être paralysé ! Il ne faut donc pas prendre le sujet à la légère, bien au contraire.

« Je ne peux que saluer l’initiative conjointe prise par Yogosha et le Groupe Asten qui nous ont proposé de nous joindre à ce programme de cybersécurité. Il nous a permis de progresser et de nous améliorer dans un domaine technique extrêmement complexe et pointu. Nous avons pu travailler en toute confiance et améliorer la sécurité de notre système d’information, même si nous savons que dans ce domaine, il n’y a pas de certitude ! » explique Francis BREUILLE, Directeur des Systèmes d’information du centre hospitalier de Saint-Lo et de Coutances.

Questions à Brice AUGRAS, chercheur du Groupe Asten

1/ Quelles sont les principales failles observées ?
Les principales observations sont celles d’une sécurité insuffisante sur l’ensemble des actifs d’un système d’information directement exposé sur Internet. Cette problématique a été accentuée pendant le confinement, avec la mise à disposition rapide de services complémentaires du système d’information (VPN, Bureau à distance, etc…). Dans un second temps, la sécurité physique des établissements de santé est encore à ce jour un vecteur négligé. Avec des flux de patients conséquents et une multitude de professionnels de santé qui exercent au sein de la structure hospitalière, il est difficile d’identifier « qui est qui ».

2/ Comment y remédier ? Quelles sont vos principales recommandations ?
La difficulté propre à ce secteur d’activité réside dans la capacité à proposer des corrections techniques n’impactant pas les besoins fonctionnels de la structure hospitalière (exemple : on ne peut demander à une infirmière en salle d’accueil des urgences de verrouiller son poste à chaque fois). C’est dans cette problématique que réside le vrai challenge quant à innover et à trouver les meilleures approches de changement à mener avec les hôpitaux Français.

3/ Un cybercriminel peut-il prendre à distance le contrôle d’un respirateur artificiel ?
Le danger n’est pas uniquement propre aux respirateurs artificiels. En effet, tout équipement issu du domaine biomédical qui, à travers sa fonction, crée un lien entre le système d’information d’un hôpital et le patient est une source de risque majeur !
Depuis plus de 10 ans, ces problématiques sécuritaires dans le domaine de l’équipement biomédical ont été identifiées. Des preuves historiques existent : pompe à insuline, pacemaker, etc.

4/ Quels sont les profils des cybercriminels ? Cherchez-vous à les identifier pour les « livrer » aux autorités ?
On observe en ce moment une recrudescence des individus opportunistes qui profitent et exploitent le contexte COVID-19 pour cibler spécifiquement ce secteur d’activité en crise.
Les attaques les plus sophistiquées et impactantes sont menées par des groupes APT (menaces persistantes avancées). Dans le cas où le processus d’investigation mène à l’identification de la source à l’origine de l’attaque, nous accompagnons les centres hospitaliers dans la démarche appropriée (signalement PHARROS, dépôt de plainte, signalement ANSSI/CNIL, etc.).