Back to the future : Conficker de retour dans un établissement de santé français

1, 21 gigawatts !!! Le ver Conficker aurait été repéré dans un établissement de santé français !

Petit retour presque dix ans en arrière ! Le 23 octobre 2008, à l’époque où nous étions tous très fiers d’avoir un parc PC sous Windows XP. Microsoft publiait un correctif de sécurité pour une vulnérabilité des plus critique (la MS08-067) affectant l’ensemble de ses systèmes d’exploitation « modernes » 32 et 64 bits, aussi bien pour ses versions serveurs que clients, Windows 2000, XP, Vista, ainsi que 2003 et 2008 Server. Windows 7 n’était qu’en pré bêta à l’époque… [2]

Sauf qu’à cette époque, la majorité des informaticiens n’en avaient pas grand choses à faire des mises à jour de sécurité, et l’on pouvait les entendre dire bien souvent : « tant que ça marche, surtout, tu ne touches à rien ».

Tout juste un mois après la publication de ce correctif, Microsoft publiait un bulletin relatif à la propagation d’un ver exploitant cette fameuse vulnérabilité du Windows Server Service (svchost.exe), le dénommé Conficker ! [3]

Selon un bulletin publié par l’éditeur d’antivirus F-Secure en janvier 2009, près de 9 millions d’ordinateurs auraient été impactés en seulement six semaines  ! [4] On ne joue pas dans la même cour que Wannacry qui a pourtant défrayé la chronique l’an passé avec ses « seulement » 300 000 postes infectés. Le niveau de maturité dans le domaine de la sécurité numérique a fortement progressé, et nous n’allons pas nous en plaindre, mais ce n’est pas une raison pour nous relâcher.

D’après la préface du dernier livre de Cédric Cartau [5], écrite par notre FSSI, Philippe Loudenot, c’est le 17 avril 2009 que le ver Conficker a posé pour la première fois ses valises dans un établissement de santé français, avant de mettre à plat les réseaux de bon nombre d’entre eux.

Pour ma part, c’est en février 2010 que j’ai fais sa connaissance. Je me souviens encore dire  : « Chef, il faut que l’on isole tout si l’on veut s’en débarrasser », et après trois semaines de lute, où les mises à jour Windows n’avaient pas eu le temps de s’installer que les postes étaient déjà ré-infectés, Windows Update « en rideau », plus d’accès au gestionnaire des tâches, les partages réseau à peine vidés étaient à nouveau remplis de fichiers vérolés, Conficker a fini par avoir raison de nous. Nous avons déconnecté l’ensemble des machines du réseau, appliqué les correctifs avant de tout reconnecter…
À l’époque, c’est dans le réseau d’imagerie médicale que nous l’avions aperçu en premier, juste après une opération de télémaintenance, et après échange avec des collègues d’autres établissements victimes, il s’avère que nous avions tous un point commun... le même éditeur.
Je suis persuadé que mon anecdote rappellera des souvenirs à plusieurs d’entre vous.

Alors pour en revenir à ce phénomène « étrange », qu’est la découverte du ver Conficker dans une  structure de santé en juin 2018 ! Je me pose quand même deux questions. Est-ce que Conficker se propage encore aujourd’hui ? Ou plutôt, n’y aurait-il pas encore de vieilles machines ou dispositifs médicaux oubliés dans les «dark nets » de certains SIH qui couveraient toujours le virus ?

[1] https://cyberveille-sante.gouv.fr/alertes/819-vigilance-un-etablissement-de-sante-impacte-par-une-variante-du-virus-conficker-2018-06

[2] https://docs.microsoft.com/fr-fr/security-updates/SecurityBulletins/2008/ms08-067

[3] https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Worm%3aWin32%2fConficker.A

[4] https://www.f-secure.com/weblog/archives/00001582.html

[5] https://www.presses.ehesp.fr/produit/securite-systeme-dinformation-etablissements-de-sante/