Une fin de semaine chaude bouillante

La bête, qui appartient à la catégorie des ransomware, fonctionne de la manière suivante. L'utilisateur honnête reçoit un message l'enjoignant à ouvrir soit un fichier PDF (vérolé) soit un lien URL (qui pointe sur un site malveillant) Le clic va vite, aussi vite que le téléchargement, sur le PC de l'utilisateur, d'un programme exécuté en mémoire et qui crypte tout ou partie des répertoires du disque dur, mais aussi potentiellement des partages de fichiers accessibles sur le réseau. Une fois le cryptage réalisé, la seule façon de décrypter – et donc d'accéder à nouveau à ses propres données – est de sortir sa carte bancaire et de verser une rançon.

Cryptolocker n'est pas tout jeune (il est répertorié par la quasi-totalité des antivirus gratuits ou payants du marché) mais il semble que ses dernières mutations l'ont rendu particulièrement difficile à détecter. De plus, l'attaque par messagerie est assez judicieuse : l'utilisateur reçoit un mail concernant une facture à payer. Certes le message est dans un français approximatif, mais qui peut être certain que, sur une population de milliers d'utilisateur, il n'y aura aucun étourdi ?

Jeudi soir, toute la planète sécurité des hôpitaux s'alertait à tout va, à coup de mail, de recommandations, de listes de mesures techniques, de renvois vers les sites des éditeurs d'antivirus tels Microsoft ou Trend sur la conduite à tenir en mode prévention ou décontamination. Certains CHU – dont celui de Nantes – ont même préféré couper carrément la messagerie pour la nuit et ne l'ont réactivé qu'une fois la menace clairement identifiée et l'assurance que les dernière signatures des antivirus prenaient en compte la mutation de Cryptolocker.

Au CHU de Nantes il est prévu une réunion de débriefing sur les enseignements à tirer de cette expérience de crise (qui heureusement n'a fait aucun gros dégât). Tout d'abord, couper la messagerie est plus facile à dire qu'à faire. Entre les passerelles SMTP en DMZ, les serveurs de synchronisation des smartphones, les liens directs avec les équipements internes en mode supervisés, les accès en Webmail (qui passent donc en http mais qui donnent accès à une messagerie externe, donc vecteur d'infection potentielle), il n'est pas du tout évidement de couper le flux des messages. Et c'est encore plus complexe si l'on veut ne couper que les flux entrants et conserver les sortants.

Ensuite, couper la messagerie permet de débusquer les détournements d'usage de celle-ci, à savoir les métiers qui ont, sans en alerter personne, mis en place des processus critiques basés sur l'hypothèse jamais validée par le DSI de la panne zéro de la messagerie. Certes on sait que les flux avec l'EFS sont critiques, mais on a vu apparaître des échanges par mails entre certains services administratifs et des fournisseurs, en mode quasi flux tendus pour les livraisons.

Enfin certains confrères, qui avaient aussi coupé la messagerie, m'ont contacté en me demandant comment réagissait ma direction générale car la leur leur « intimait » l'ordre de rouvrir la messagerie dans les plus brefs délais. Au CHU de Nantes rien de tout cela, la direction générale a parfaitement saisi la menace et a laissé les ingénieurs de la DSI prendre l'ensemble des mesures nécessaires dans le calme, mais je m'interroge sur cette attitude. Est-ce à dire qu'en cas d'alerte NBC (Nucléaire Bactériologique Chimique) – un des rares cas où un CHU peut se trouver en situation de devoir fermer totalement son enceinte physique vis-à-vis de l'extérieur – le même directeur « intimera » au service sécurité l'ordre de lui ouvrir la porte pour aller à une réunion, par exemple à l'ARS ? Si tel est le cas, le directeur en question ferait bien de prendre des cours de secourisme et de sécurité, cela lui fera le plus grand bien.

Ah oui, j'allais oublier le rôle important de Philippe Loudenot, FSSI du ministère. Première crise depuis son arrivée et le moins que l'on puisse dire, c'est qu'il détonne dans le paysage : enfin un FSSI qui communique au plus près et en quasi temps-réel ! Pour mémoire, à l'époque de Conficker les autorités précédentes avaient envoyé des alertes environ un an après la bataille...