Piratage au CHU de Rouen. D'autres villes ont été visées

Le groupe de pirates informatiques qui a gravement perturbé le fonctionnement du CHU de Rouen avec un rançongiciel a tenté de s'en prendre, en vain, à plusieurs autres hôpitaux, a indiqué jeudi 28 novembre le directeur général de l'agence gardienne de la sécurité informatique française. "L'attaquant est actif, il cherche en France" et a déjà pris pour cible "plusieurs entités publiques et privées", et en particulier des hôpitaux qui ont repoussé les attaques, a expliqué Guillaume Poupard. "Le secteur de la santé globalement intéresse l'attaquant", a indiqué M. Poupard, qui dirige l'Agence nationale de la sécurité des systèmes d'information (Anssi).

Les cybercriminels identifiés

Une attaque informatique au rançongiciel a gravement perturbé le fonctionnement du CHU de Rouen le week-end des 16 et 17 novembre. Les pirates se sont introduits dans le système informatique puis ont chiffré les fichiers pour les rendre inopérants, exigeant une rançon pour les débloquer. L'Anssi a dépêché sur place une petite équipe à Rouen dès l'alerte donnée, tandis que d'autres techniciens et ingénieurs étaient mobilisés à Paris. Au total, 25 cyberpompiers de l'Anssi ont été mobilisés le samedi, puis 25 personnes supplémentaires le lendemain. Leur travail était à la fois de "faire de la remédiation" - remettre en marche les équipements bloqués - et de "sauvegarder un maximum de traces pour être capable de mener à bien l'enquête après".

L'Anssi estime que l'attaque a été menée par un groupe d'attaquants identifié sous le nom de TA505, qui utilise un rançongiciel baptisé Clop. Selon un annuaire de la menace informatique compilé par le groupe Thales, TA505 est un groupe de cybercriminels actif depuis 2014. Son origine géographique n'est pas identifiée, mais le groupe "semble parler le russe", selon ce document.