L'ancien directeur opérationnel d'une société spécialisée dans la cybersécurité a plaidé coupable du piratage de deux hôpitaux. Lui-même aujourd'hui gravement malade, il risque 10 ans de prison.
Vikas Singla, ancien directeur opérationnel de l'entreprise Securolytics, a admis sa culpabilité dans le piratage d'hôpitaux du Gwinnett Medical Center. En attaquant les systèmes du Northside Hospital de Duluth et de Lawrenceville en 2018, Singla a non seulement perturbé les services et risqué des vies, mais il a aussi volé les données personnelles de centaines de patients, pour promouvoir son entreprise et booster son business. Les procureurs réclament une peine de probation lourde, qui pourrait néanmoins être allégée en raison de la santé fragile du prévenu.
Un préjudice supérieur à 800 000 dollars pour les hôpitaux piratés
L'ex-dirigeant de Securolytics a lancé une attaque ciblée en septembre 2018, pour perturber les services téléphoniques et d'impression de deux hôpitaux du Gwinnett Medical Center, générant des pertes financières qui ont depuis été estimées à plus de 817 000 dollars.
Le piratage a permis à Singla de voler des données personnelles, dont les nom, date de naissance, et sexe de plus de 200 patients des établissements de santé, le tout à partir d'un appareil de numérisation Hologic R2, connecté à un dispositif de mammographie de l'hôpital de Lawrenceville.
Le pire, c'est que le même jour, Singla a amplifié l'impact de son attaque en utilisant plus de 200 imprimantes à l'hôpital de Duluth pour imprimer des informations volées sur les patients, sur des affiches accompagnées de messages menaçants, du type « WE OWN YOU », que l'on pourrait traduire par « nous vous tenons ».
L'ex-dirigeant véreux aujourd'hui gravement malade
L'ancien dirigeant est même allé jusqu'à faire la promotion de son méfait sur Twitter, en divulguant les données de 43 patients concernés par la fuite, histoire d'attirer l'attention sur l'attaque et sur son entreprise. Securolytics a en effet exploité l'incident pour solliciter de nouveaux clients via des e-mails ciblés. Après coup, on se dit que ce n'était pas très subtile.
Tandis que Singla a été inculpé d'une vingtaine de chefs d'accusation, les procureurs ont réclamé une peine de probation de 57 mois, comprenant la détention à domicile. Car l'individu est aujourd'hui atteint d'un cancer incurable doublé d'une maladie vasculaire potentiellement dangereuse, qui nécessitent qu'il soit détenu chez lui. Le juge peut néanmoins prononcer une peine de prison pouvant aller jusqu'à 10 ans, lors de l'audience prévue le 15 février prochain.
Vikas Singla a néanmoins déjà accepté de rembourser les hôpitaux du montant du préjudice subi, soit 817 000 dollars, auxquels ont été ajoutés les intérêts. Une démarche qui pourrait, malgré son crime, jouer en sa faveur.
Source : BleepingComputer
