Le groupe de pirates informatiques qui a gravement perturbé le fonctionnement du CHU de Rouen avec un rançongiciel a tenté de s'en prendre sans succès à plusieurs autres hôpitaux, a indiqué jeudi le directeur général de l'agence gardienne de la sécurité informatique française.
"L'attaquant est actif, il cherche en France" et a déjà pris pour cible "plusieurs entités publiques et privées", et en particulier des hôpitaux qui ont repoussé les attaques, a expliqué Guillaume Poupard à des journalistes en marge d'une réunion à Paris consacrée au projet de cyber-campus français.
"Le secteur de la santé globalement intéresse l'attaquant", a indiqué M. Poupard, qui dirige l'Agence nationale de la sécurité des systèmes d'information (Anssi).
Une attaque informatique au rançongiciel a gravement perturbé le fonctionnement du CHU de Rouen le week-end du 16 et 17 novembre.
Dans ce type d'attaque, les pirates s'introduisent dans le système informatique de la victime puis chiffrent ses fichiers pour les rendre inopérants, exigeant une rançon pour les débloquer.
"Pendant le week-end, l'hôpital n'a traité que les urgences vitales, tout le reste a été reporté ou externalisé", a souligné M. Poupard.
L'Anssi a dépêché sur place une petite équipe à Rouen dès l'alerte donnée, tandis que d'autres techniciens et ingénieurs étaient mobilisés à Paris.
Au total, 25 cyber-pompiers de l'Anssi ont été mobilisés le samedi, puis 25 personnes supplémentaires le lendemain, a précisé M. Poupard.
Leur travail était à la fois de "faire de la remédiation" - remettre en marche les équipements bloqués - et "sauvegarder un maximum de traces pour être capable de mener à bien l'enquête après", selon M. Poupard.
L'Anssi estime que l'attaque a été menée par un groupe d'attaquants identifié sous le nom de TA505, qui utilise un rançongiciel baptisé Clop.
Selon un annuaire de la menace informatique compilé par le groupe Thales (Thales Threat Handbook), TA505 est un groupe de cyber-criminels actif depuis 2014.
Son origine géographique n'est pas identifiée, mais le groupe "semble parler le russe", selon ce document.
Le parquet de Paris a ouvert une enquête sur l'attaque informatique contre le CHU de Rouen, notamment pour "extorsion et tentative d'extorsion en bande organisée".
lby/tq/eb
THALES
