Victime d’une attaque informatique de grande ampleur le 15 novembre, le centre hospitalier normand se voit réclamer une forte rançon.
Sympa de tirer sur l’ambulance (au sens figuré comme au sens propre)! C’est un peu comme tenter de piquer du fric à un clodo, c’est peut-être facile mais c’est très con.
Dans quel monde vit-on… :’-(
1 « J'aime »
Faut être le fils de personne pour s’en prendre à un hôpital…
2 « J'aime »
Si on attrape les responsables, et s’ils sont français ou résidant en France, j’ai une idée pour la punition: privés de sécu, et privés de mutuelle. Ils se feront soigner à leurs frais toute leur vie.
Je ne suis pas le plus grand des expert en informatique, mais il est force de constater que oui il y eu sans doute une faille dans le SI du CHU de Rouen, et il y en a toujours dans n’importe quel SI. En l’état, personne n’est en mesure de dire qu’il y a eu négligence, la direction voudra forcement des coupables… Sur les postes de travail il y a des antivirus qui isolent les machines infectées du reste du réseau au cas ou. En amont il y a des passerelles sécurisées puissantes de filtrage de mails avec SANDBOX qui jouent les mails et les PJ dans les machines virtuelles isolées afin de les bloquer en cas de suspiscion, et il y a du filtrage de page web pour la navigation qui fait aussi son boulot. La segmentation des réseau est aussi une sécurité à elle toute seule. Et je pense que le CHU à un SI compétent qui à mis en place un système de sauvegarde au minima (je le dis bien, au minima) de type 3 - 2 - 1, a savoir 3 copies sur 2 types de supports différents, sur 1 site isolé du reste du réseau. Avant de juger le travail des uns et des autres, je tiens à dire que mes confrères du SI de Rouen travaillent sans doute très dur tout les jours sur un SI extrêmement complexe, car il y a bien d’autres aspects non évoqués ici la, qu’il ne faut pas oublier, PRA, PCA, PCS, migrations, évolution, projets, maintenance, assistance, support etc… qui est également le quotidien du personnel d’une DSI, la gestion de la redondance d’applications, restauration de fichiers… Un ordinateur ne fait pas tout tout seul, et le métier de l’infra informatique se complexifie de jour en jour selon les exigences nécessaires de la collectivité et de ses besoins. Le seul remède c’est d’embaucher du personnel, de le former sur des domaines précis d’expertise. Beaucoup trop d’entreprise pleurent après coup, alors que l’informatique est encore vu trop souvent comme un bête noire… alors que c’est 5% du CA d’une entreprise, et qu’il faut 1 informaticien pour environ 70 personnes dans une entreprise.
2 « J'aime »
Quand on n’y connaît rien on se renseigne au lieu d’écrire des âneries.
Un NAS ne sauvegarde rien, il permet seulement d’accéder à des fichiers en intranet ou internet et s’il est RAID permet de continuer à travailler au cas où un HDD tomberai en panne.
Le fait qu’il soit constamment connecté le rend totalement vulnérable et vu le niveau informatique des responsables s’ils choisissent un NAS pour sauvegarder doit expliquer la situation.
Un HDD USB 4To coûte moins de 100€ et permet de sauvegarder des milliers de fichiers, il faut bien sûr prendre soin de le brancher jounalierement et de le débrancher immédiatement, ce qui visiblement n’est pas pas simple pour certains.
Clair qu’il y a beaucoup de lacunes dans cette histoire. Le SI a l’air un peu faiblard (je parle pas des techniciens eux-mêmes mais du ou des personnes qui donnent les directives).
Si c’est arrivé par mail, c’est qu’il n’y a aucun filtrage alors que la grande majorité des FW dignes de ce nom le font (DPI). Même des soluces comme Sophos Intercept X (Cryptoguard) permettent d’éviter ces soucis.
Bonne galère pour eux dans tous les cas. Doivent transpirer les techs.
Oula!! Ca charcute grave dans les commentaires…
Ce type d’attaque n’est pas nouveau. Et ce qu’il faut savoir, c’est que les escrocs n’ont jamais les moyens de décrypter les fichiers. Donc quand tu payes, ben t’es toujours coincé.
Ce type de « programme » utilise une clé qu’il génère aléatoirement pour éviter de devoir la mettre en dur (trouvable) ou l’envoyer ailleurs (ce qui permettrait de remonter à eux)…
Donc ils n’ont aucune idée de la clé utilisée pour crypter les fichiers, et donc du moyen de les décrypter…
C’est triste, mais ce qui l’est encore plus, c’est que payer ne servirait à rien (en dehors de les encourager).
Pourtant il me semble qu’aux États-Unis certains hôpitaux ont payé et reçu la clef qui leur a permis de décrypter les fichiers.
Vu le niveau de compétence en informatique de certains, il est clair que ce logiciel malveillant à été développé pour cibler très précisément l’incompétence et l’autosatisfaction des « responsables en informatique et sécurité ».
1 « J'aime »
Un peu de clairvoyance dans tout ça, il faut garder les pieds sur terre. Un petit NAS peut servir à sauvegarder, à l’envergure d’un CHU il est évident que NON.
Un NAS local Synology ou Qnap pour ne pas les citer ont leurs propres outils qui sont suffisants pour les TPE ou voir PME, mais on parle encore que de sauvegardes locales, et non externalisées. Sauvegarder c’est bien, restaurer c’est mieux !
Le déploiement progressif du Cloud computing ouvre de nouvelles perspectives, la sauvegarde Saas par exemple, en mode granulaire.
Il y a des outils spécifiques pour les très grosses infra, et la je pense à Atempo par exemple, avec de la sauvegarde VLS par exemple. Ou encore des baies avec cartouches RDX placés dans des armoires fortes ignifuge, mais il existe d’autres outils… ne nous arrêtons pas à la mécanique, il faut des heures d’études et de concertations avec de l’expertises externe.
Ici ce qui est clair, c’est que l’on ne parle pas d’une restauration basique, on est sur un cas de figure de type " Business continuity et disaster recovery ", il faut du lourd pour relancer la machine CHU. Sans doute perdu, ils ont eu un excellent réflexe, celui de contacter l’ANSSI.
Il faut bien connaitre son infra et son fonctionnement et ce qui est impératif c’est de connaitre la tolérance de panne… Un peu de lecture ici sur les PSSI :
Les enjeux sont différents d’une entreprise à une autre.
Sur le sujet des " hackers virtuoses ", ce sont des cyber-terroristes, il n’y a rien d’intelligent dans la malveillance de ces manœuvres crapuleuses. Enfin il arrive parfois qu’ils donnent la clé de décryptage suite au paiement, c’est une vérité, tout comme le fait qu’il ne la donne pas …
2 « J'aime »
si pour toi, le backup professionnel passe par un disque externe en usb qu’on branche et débranche tous la jours, je ne t’embaucherai pas pour mes backups…
3 « J'aime »
Exact :
Mais avec :
On comprends que :
- l’hôpital en question pouvait « réparer » (avec ses sauvegardes)
- qu’il a payé « juste » pour gagner du temps
Et que le ransonware concerné (samsam) joue justement sur le rapport gain de temps/coût pour inciter ses « clients » (lol) à payer.
Si l’on regarde les autres ransonware, beaucoup ont des clés en dur (ou des amorces de clé en dur) qui du coup ressortent quelques temps après et limite les pertes aux victimes qui sont les plus pressés/paniquées…
Donc ils jouent vraiment sur le temps et la propagation de leur merle…
Je pensais pas que c’était aussi trivial leur truc… Bon à savoir 
Bonjour, c’est une réponse à mon post ?
Hum… Ok, un NAS n’est pas un système de sauvegarde à froid. Mais je ne comprends pas ta remarque.
Un disque dur externe ne l’est pas non plus (encore moins comme solution pérenne et fiable). Des manipulations humaines, une exigence de capacité d’analyse (quand le brancher et plus important NE PAS le brancher), une connaissance du réseau global (dans un hopital, il y a combien d’ordis entre l’dministratif, tous les équipements des infirmières, des médecins, des appareils spécialisés, … => on doit largement dépasser le millier de dispositifs pour un petit hopital) et une capacité qui n’est en rien compatible avec une sauvagerde USB, déjà limite pour un particulier! 
99% de ces cyberattaques demandant en plus des bitcoins sont faites par des hackers russes sans foi ni loi. En l’occurrence d’après les dernières infos, il s’agit bien de russes, quelle plaie ces russes… Autre fait 99% de ces virus sont propagés par des neuneus qui cliquent sur des emails contenant des fichiers joints exécutables… S’il y avait une équipe d’administrateurs sécurité réseau digne de ce nom ça ne serait jamais arrivé, il y a des choses à faire, c’est pas une fatalité comme utiliser des règles de flux de messagerie pour inspecter les emails. Mais bon ici faut pas trop en demander visiblement…