|Écrit de Louis Viratelle. Édition Alexandre Pierrat.
Publié le 9 avril 2021.
|Écrit de Louis Viratelle. Édition Alexandre Pierrat.
Publié le 9 avril 2021.
Les derniers mois ont marqué une forte numérisation des entreprises, mais également d’entités d’utilité publics tels que les hôpitaux. Mais la complexité du numérique et les coûts onéreux que requièrent une bonne installation ont révélé de nombreuses failles. L’exemple type est l’arrêt presque total du fonctionnement de plusieurs hôpitaux, à cause d’intrusions externes sur le matériel informatique et médical. Afin d’affaiblir ces infrastructures gardiennent de la santé, les pirates informatiques à l’origine des attaques utilisent majoritairement des rançongiciels.
Le principe des rançongiciels est de concevoir un logiciel malveillant, prêt à s’exécuter : dans le cas que nous illustrerons, il s’exécutera sur du matériel médical. Pour le faire pénétrer dans les hôpitaux, l’une des techniques privilégiées consistent à intégrer ce logiciel dans des mails et communications traités par les hôpitaux. C’est en réitérant à mainte reprise l’envoi (souvent camouflé) de ces rançongiciels que les pirates espèrent qu’un utilisateur terminera par télécharger le logiciel et par l’exécuter, sans se douter de la supercherie. Il est à ce moment fort probable que l’ordinateur en question soit relié à un réseau local commun à tout le matériel informatique de l’hôpital. C’est dans cet environnement que le rançongiciel va pouvoir proliférer dans tout le réseau et se répandre sur des appareils informatiques contrôlant par exemple du matériel médical. Une fois les cibles atteintes, le rançongiciel va commencer une phase de chiffrement informatique de certains matériels en réseau. En quelques dizaines de minutes, l’hôpital peut devenir infonctionnel à cause d’outils informatiques totalement paralysés.
Le principe du chiffrement est d’encapsuler du code informatique dans un coffre virtuel extrêmement robuste (à l’aide d’outils mathématiques quasi-infaillibles comme l’AES), pour qu’il ne soit accessible par personne, y compris par des experts en cybersécurité. Cet isolement robuste repose sur une clé de chiffrement : un ensemble de caractères qui permet d’accéder à nouveau aux données quand on le possède. Les données chiffrées peuvent être celles de patients, des documents médicaux sensibles ou encore le code informatique d’outils médicaux, les rendant inutilisables. Cette clé est possédée par les pirates. Leur stratégie est alors purement financière : ils demandent de fournir une somme d’argent pouvant atteindre plusieurs dizaines de milliers d’euros pour transmettre à l’hôpital la clé et donc pour permettre de déchiffrer les données. L’envoi de l’argent se réalise via des cryptomonnaies, garantissant un anonymat (quasi) parfait aux pirates, tout en gagnant très gros. Une seconde manière de gagner de l’argent et qui s’avère tout aussi problématique notamment d’un point de vue éthique est la revente illégale sur des « marchés noirs » des données médicales des clients d’un hôpital. La vente unitaire des fichiers médicaux d’une personne est estimée à une vingtaine d’euros. C’est donc une activité qui peut s’avérer très lucrative lorsqu’elle concerne des centaines de patients.
Ainsi les pirates exploitent des vulnérabilités conséquentes pour paralyser totalement une entité tel qu’un hôpital, qui sont aujourd’hui dépendantes de l’informatique pour fonctionner : les dossiers médicaux sont informatisés, beaucoup d’appareils médicaux sont reliés en réseau. Avoir ces infrastructures pour cible dans les temps actuels, alors que leur activité n’a jamais été aussi central avec l’épidémie de COVID-19 accroit d’autant plus les probabilités que les rançons financières soient payées. 192 attaques par « ransomware » ont été comptabilisés en 2020 selon l’ANSSI contre 54 l’année précédente (entre-autres les mairies d’Angers, de La Rochelle, d’Annecy, mais aussi les hôpitaux de Narbonne, Montpellier, Dax, etc…).
Le nombre d’attaques a donc triplé en un an et semble s’avérer être un sujet très critique auquel l’État se doit d’intervenir de toute urgence. La France est le huitième pays le plus touché au niveau mondial concernant les attaques numériques malintentionnées, selon le FBI.
Mais si ces attaques sont aujourd’hui réalisées à des fins purement économiques, personne n’est à l’abris qu’un jour, ces programmes malveillants introduits dans les réseaux locaux aient un tout autre intérêt. Il est tout à fait imaginable – étant donné le manque cruel de sécurité – que ces logiciels malveillants modifient le comportement d’appareils médiaux. Ainsi, un appareil en réseau affichant le rythme cardiaque d’un patient ou une quelconque donnée vitale pourrait facilement affirmer une information faussée. La santé des patients en soin est donc une cible totalement envisageable afin de paralyser encore d’avantage un hôpital : les dégâts ne seraient plus de l’ordre matériel et financier, mais humain et sociétal.
Si ce type d’attaques peut être envisagée par des pirates, son orchestration pourrait sembler plus probable par un État. Atteindre des cibles vulnérables (tant sur l’aspect numérique que sociétal) comme les hôpitaux affaiblis fortement un État. Cela pourrait être une tactique envisageable en temps de conflits politiques entre État afin d’affaiblir l’adversaire.
La numérisation globale engendre donc une problématique sécuritaire massive, pouvant avoir des impacts financiers, mais aussi beaucoup plus graves en étant en mesure de désordonner très rapidement l’organisation d’un pays et de le rendre moins apte à se défendre, comme à attaquer.
Pour répondre à cette nouvelle menace numérique, le ministère des Solidarités et de la Santé s’est prononcé sur un éventail de mesures visant à contrer les crises que peuvent rencontrer notamment les hôpitaux à cause du manque de sécurité des infrastructures en réseau. Ainsi, 5 à 10% du budget informatique de ces complexes médicaux doivent être dédiés à la cybersécurité pour que les hôpitaux puissent continuer de bénéficier des aides de l’État.
Deux milliards d’euros d’investissements sont prévus par l’État français pour accroitre la numérisation des établissements de santé. Cette enveloppe englobe 350 millions d’euros uniquement dédiés à la sécurité informatique. Outre cela, 136 millions d’euros seront débloqués pour sécuriser les systèmes informatiques de l’État, et 25 millions à la réalisation d’audits (notamment par l’ANSSI) dans les établissements de santé afin de juger la fiabilité des systèmes informatisés face à aux menaces qu’ils pourraient rencontrer.
Si ces sommes sont largement consacrées à l’augmentation de la fiabilité du matériel face aux attaques (prenons l’exemple type de l’imprimante en réseau qui communique avec des protocoles non chiffrés et très peu sécurisés, alors qu’elle peut imprimer des documents très sensibles), l’une des conclusions logiques de l’État est de revoir les organisations des ces structures à risque en cas d’attaque : un hôpital doit par exemple être en mesure de fonctionner (du moins partiellement) malgré qu’une vulnérabilité extérieur puisse mettre en péril les outils informatiques. Ainsi, la centralisation numérique liant tout le matériel et tous les documents peut intuitivement être remis en question. Une formation plus poussée du personnel est aussi évoquée. Cette formation pourrait permettre d’éviter efficacement une attaque comme celle décrite précédemment, qui repose sur l’exécution volontaire et humaine d’un logiciel malveillant.
Mais l’État qui semble dorénavant plus conscient que jamais de l’envergure du défi à faire face favorise également dans son plan numérique les appels à projet visant à élaborer de nouveaux outils pour contrer les attaques numériques. Ces plans sont assez ouverts, et toute proposition de projets informatiques innovants est la bienvenue : l’idée est de favoriser la concrétisation des projets les plus prometteurs, afin d’espérer avoir un jour une avance sur les menaces. Toutes ces mesures s’incrustent également dans le plan de la relance économique nécessaire dans la période de crise sanitaire que nous connaissons. L’État co-financera les projets sélectionnés à hauteur maximale de 50% des investissements nécessaires, avec un budget de 20 millions d’euros.
L’une des réponses qui semblent les plus adaptées face à l’ampleur, à la récurrence et à la constante évolution des cyberattaques pourrait bien être l’utilisation d’algorithmes d’IA. C’est le pari sur lequel mise de jeunes entreprises tel que Tehtris. L’idée derrière ces algorithmes est d’automatiser totalement la phase d’apprentissage des nouvelles techniques informatiques malveillantes en observant à large échelle celles utilisées par les pirates (et en apprenant à différentier les réelles menaces de celles qui n’en sont pas via le ‘machine learning’). Ainsi et contrairement à des solutions telles que les anti-virus que nous connaissons et qui reposent sur la détection des « signatures » d’un virus, l’IA permettrait de prendre de l’avance en recessant très rapidement les nouvelles techniques malveillantes, bien avant qu’elles soient connues et utilisées à large échelle sur les périphériques numériques.
Mise à part l’utilisation de l’IA, l’ordinateur quantique représenterait une opportunité immense de casser toutes les tendances actuelles en cybersécurité. En effet, la logique quantique mettrait à mal beaucoup de techniques de chiffrement que nous connaissons et qui sont utilisées dans les cyberattaques, en étant en mesure de casser quasi-instantanément ces derniers, pour le meilleur (par exemple ne plus devoir payer de rançons), comme pour le pire (au hasard, accéder aux données de toute une population en cassant toutes les sécurités qui les protégeaient). L’ère de l’informatique quantique représente une opportunité immense d’inverser la tendance face aux pirates informatiques, et d’instaurer de nouveaux standards « cryptographiques post-quantiques » qui ne sont pour le moment qu’à un stade très expérimental et réservés aux plus puissants tant d’un point de vue financier que technique.