Frappé par une cyberattaque de grande ampleur dans la nuit du samedi au dimanche 21 août 2022, le Centre Hospitalier Sud Francilien (CHSF) de Corbeil Essonnes avait adopté une posture ferme face au cybergang Lockbit 3.0 à l'origine de ce piratage. A savoir refuser de payer la rançon demandée depuis le 12 septembre - d'abord de 10 M$ puis réduite à 2 M$ - pour espérer voir les données exfiltrées détruites et pas mises en ligne. En guise d'avertissement, des échantillons avaient d'ailleurs déjà été publiés. En n'acceptant pas le chantage de Lockbit 3.0, ce dernier a donc fini par mettre sa menace à exécution. Avec un peu de retard puisque l'hôpital avait initialement jusqu'au 22 septembre 2022 pour s'exécuter mais un dernier coup de pression a été réalisé par le cybergang pour tenter de récupérer les fonds. En vain, avec pour conséquence finale la mise en ligne selon Zataz d'une archive de 11 Go ce 23 septembre contenant plusieurs centaines de milliers de documents dont des numéros de sécurité sociale et des comptes-rendus médicaux.
« Les données publiées semblent concerner nos usagers, notre personnel ainsi que nos partenaires », a fait savoir le CHSF dans un communiqué. Des dossiers externes d’anatomocytopathologie, de radiologie, de laboratoires d’analyse et de médecins ont notamment été compromis. « L’attaque semble avoir été circonscrite aux serveurs virtuels et à une partie seulement de l’espace de stockage du CHSF (environ 10%) », indique également le centre hospitalier. Intitulé Part1, le nom de cette archive suggère que d'autres pourraient suivre.
Usurpations d'identité et phishing ciblé à prévoir
Suite à cette salve de données sensibles publiées, de nombreuses opérations malveillantes sont à prévoir, pouvant aller jusqu'à de l'usurpation d'identité en passant par du phishing ciblé. Le centre hospitalier fournit à ce titre de nombreuses recommandations pertinentes comme une grande vigilance face aux e-mails, appels et SMS d'apparence légitimes mais qui ne le sont pas (expéditeur douteux, demande d'informations confidentielles incluant mots de passe et données bancaires), ou dont le ton pressant pousse à une action rapide. Attention aussi aux pièces jointes qui peuvent être piégées. Le centre recommande aussi une attention particulière à l'activité de ses comptes associés à son numéro de sécurité sociale (Ameli, CAF...) et de changer ses mots de passe forts au moindre doute.
L'établissement avait déclenché le 21 août 2022 son plan blanc suite à la cyberattaque qui avait rendu inaccessible les accès à tous ses logiciels métiers, aux systèmes de stockage, ainsi qu'au système d'information relatif aux admissions. L'ANSSI a été informée et a rapidement mobilisé plusieurs de ses experts, la CNIL prévenue et une plainte a été déposée et l'enquête confiée aux gendarmes du centre de lutte contre les criminalités numériques (C3N). Le CHSF est un établissement public de santé implanté sur un territoire de 700 000 habitants et enregistre chaque année 72 000 séjours hospitaliers et dispose d'un budget de 400 M€.