L'hôpital Simone Veil de Cannes, victime d'une cyberattaque il y a deux semaines, a vu mardi le groupe LockBit revendiquer cette dernière. Les hackers menacent de dévoiler les données dérobées le 1er mai.
La fête du travail pourrait tourner au cauchemar pour le personnel, les dirigeants et les patients de l'hôpital de Cannes. Touché par une sévère cyberattaque le 16 avril dernier, qui laissera d'ailleurs des traces pendant de longs mois, le centre hospitalier a dû reporter de nombreuses interventions, mettre en place des procédures de secours et doit désormais faire avec le compte à rebours lancé par le gang de hackers LockBit, qui signe définitivement son retour sur le devant de la scène cybercriminelle.
Le groupe de pirates, presque laissé pour mort par les autorités à l'issue de l'opération internationale des forces de l'ordre du mois de février dernier, montre qu'en plus de n'avoir jamais vraiment disparu, il est toujours très actif, comme nous le confirment plusieurs experts cyber.
Avec la cyberattaque de l'hôpital de Cannes, LockBit prouve qu'il n'a pas disparu, bien au contraire
Pendant que l'hôpital de Cannes panse ses plaies, le groupe LockBit, lui, passe à la vitesse supérieure. Les pirates ont lancé un compte à rebours qui doit prendre fin le 1er mai. On ignore très précisément le type d'informations dont ils disposent. Ce qui semble certain, c'est que s'ils n'obtiennent pas ce qu'ils demandent, les membres du gang diffuseront les données dérobées.
Après la fameuse opération Cronos des autorités, nous avions rapidement affirmé que LockBit n'avait pas disparu. « Faire tomber une partie d’infrastructure sans couper les têtes de l’hydre, ça n’a jamais tué définitivement un groupe d’attaquants », réagit Pascal Le Digol, directeur France de WatchGuard. L'expert rappelle les capacités de rebond du collectif de cybercriminels.
« LockBit a certes connu une baisse d’activité suite à l’opération Cronos, mais il a cumulé des centaines de millions de revenus. Donc il a les moyens, le temps et la compétence pour remonter une infrastructure forte. Le patron supposé de LockBit, LockBit Supp, expliquait d’ailleurs avoir beaucoup appris du propre piratage de son infrastructure par les forces de l’ordre », ajoute notre expert. « S'attendre à la dissolution complète et définitive des groupes cybercriminels est une posture très incertaine », complète la présidente et fondatrice d'Alcyconie, Stéphanie Ledoux, pour un peu plus insister sur la résilience dont font preuve les collectifs de pirates.
Un gros coup de communication pour LockBit, à quelques jours du Festival de Cannes
Nous n'irons donc pas jusqu'à dire que LockBit a su renaître de ses cendres, tel le Phénix, puisque l'organisation n'a jamais cessé de vivre. Elle est même rapidement redevenue très active. « L'opération de police menée en février n'a pas mis un terme à la menace "Lockbit black", en effet en ligne avec nos craintes, l'infrastructure de ce groupe criminel a été reconstruite et nous constatons en ce moment des alertes liées à des tentatives de compromission de postes de travail », confirme le directeur des SoC (centres d'opérations de sécurité) de Nomios, Luis Delabarre.
LockBit semble conserver toute la confiance de ses affiliés, que les autorités avaient d'ailleurs promis de traquer. « S'ils sont encore là, c'est que l'offre est toujours aussi alléchante et que LockBit a démontré que son outil de chiffrement est efficace, et que les gains sont intéressants », nous dit Pascal Le Digol.
En somme, en « s'offrant » l'hôpital de la Croisette comme cible puis victime alors que se profile le Festival de Cannes, LockBit se paie une fenêtre mondiale sur sa « renaissance », aussi triste et déplorable soit-elle. Pascal Le Digol l'explique bien, « cette cyberattaque ressemble finalement à un gros coup de communication pour redorer le blason du groupe qui démontre ainsi qu’il a survécu à une opération mondiale de police dont il ressort même grandi ».
Des patients qui encourent certains risques, si leurs données venaient à être publiées
Si LockBit met sa menace de diffusion des données à exécution, que se passera-t-il pour les patients de l'hôpital de Cannes ? « Le risque pour les patients est de voir leurs données très sensibles monnayées sur le darknet pour rejoindre l’immense quantité de données personnelles déjà disponibles, et finalement entretenir la redoutable machine du phishing, des phishing ciblés et autres arnaques en ligne », répond le patron de WatchGuard France.
En attendant, le centre hospitalier a reçu, ces derniers jours, le soutien des équipes du CHU de Nice et CH d'Antibes. Il travaille toujours étroitement avec les services de l'ANSSI, l'agence française dédiée à la cybersécurité, auprès de laquelle se poursuivent les investigations techniques.
18 novembre 2024 à 15h14
Merci à Aurélien Rouby et à l'agence WeTalk, qui ont aidé à ce que nous puissions rapidement entrer en contact avec les experts.