CHU de Rouen : attaque et perméabilité systémique

CHU Rouen : cyberattaque ou simple attaque virale ?L’interconnexion de tous les ordinateurs dans les CHU est-elle une bonne idée ? Les hôpitaux et, de manière générale, nos organisations se trouvent aujourd’hui fragilisés par la construction de systèmes d’information intégrés et très souvent monolithiques, exposés à des attaques systémiques. J’ai été jeté un coup d’œil dans la presse pour avoir des précisions sur ce qui s’est passé vendredi soir au CHU de Rouen, à 19 h 45. La décision, dès 20 heures, a été d’arrêter tout le système informatique de l’hôpital afin d’éviter la propagation.

A ce stade, nous ne savons pas s’il s’agit d’une attaque de type cryptolocker  ou d’un ver informatique. Nous ne savons pas non plus par quel système ou logiciel elle s’est introduite, puis diffusée. En ce dimanche, l’ANSSI a dépêché 7 spécialistes pour identifier l’ordinateur zéro d’où serait partie l’attaque. Pour rappel, un cryptolocker cherche à chiffrer tous les fichiers accessibles par les utilisateurs sur les partages réseau. Sur les serveurs Windows, il existe une possibilité assez simple de bloquer le chiffrement de ces fichiers en installant et configurant le rôle Gestionnaire de ressources du serveur de fichiers. On peut utiliser incron pour bloquer le mécanisme de propagation sur les systèmes Linux.

Pour des raisons de coût et de facilité, tous les automates utilisés aux urgences, les respirateurs sont aujourd’hui branchés sur le réseau général des hôpitaux. J’aimerais savoir si les administrateurs système et réseau ont pensé à configurer les pare-feux des systèmes Windows sur lesquels travaillent les agents du CHU de Rouen. La 1ère chose que font la plupart des sysadmins, du fait souvent de leurs maigres compétences en matière de sécurité informatique, est de couper le pare-feu sur le parc des machines et des serveurs Windows. C’est évidemment une faute.

Et puis, il y a toutes ces applications Tcp/Ip qui traînent nonchalamment sur les stations de travail Windows et Linux, par ignorance, sur lesquelles s’appuient ces « virus » pour disposer d’une topologie du réseau à attaquer :

Messieurs les sysadmins, avez-vous pensé à les désactiver, afin de minimiser le bruit des ces applications Tcp/Ip sur vos réseaux ? Et l’IPv6, êtes-vous sûr d’en avoir besoin ?

L’autre complication dans un hôpital public est son organisation hiérarchique bicéphale : les médecins d’un côté et l’administration de l’autre. Le BYOD ainsi que l’élévation des droits de certains utilisateurs peuvent causer des dégâts tout à fait considérables. Il faut savoir que les 1ers à véhiculer ce type d’attaques sont très souvent les techniciens informatique et les sysadmins eux-mêmes. Seules des formations à la sécurité informatique amenant à une plus grande sensibilisation des utilisateurs et à une montée en compétences des personnels techniques sont susceptibles d’endiguer cette lente et inexorable perméabilité de nos organisations à des attaques informatique. Quel que soit le prix payé, la croyance en l’infaillibilité des solutions techniques est une illusion. Le dernier rempart de la sécurité informatique, c’est l’utilisateur.

Sécurité informatique  / CHU Rouen 

Commentaires

Bonjour,
« est de couper le pare-feu sur le parc des machines et de serveurs Windows »…
Mais quel intérêt à faire cela Denis ? Raison de coût ? Je n’ai pas la compétence d’ingénieurs mais là je tique…C’est quand même un minimum un firewall non ? Je connais un admin qui s’occupe du réseaux dans une « école du Web », le firewall il s’en bat les c…Il utilise Chrome et tous les services des GAFAM etc. sur son PC perso aussi. Le « bruit » sur une bonne cinquantaine de postes il s’en fou royal. J’ai l’impression qu’il ne s’agit pas seulement d’incompétence mais bel et bien d’un « j’men foutisme » généralisé…

@Jean

Je souscris à ton analyse sur le « J’m’en foutisme » généralisé. Mais, parfois, il s’agit aussi d’un vernis qui cache une incompétence crasse.

Bonjour,

J’ai toujours du mal avec cette notion de pare-feu windows. Si l’architecture est bien pensé, j’ai toujours tendance a penser qu’il ne sert a rien,les serveurs étant généralement dans un autre sous réseau que le reste de l’infrastructure, les flux passent par un pare-feu matériel, si les matrices de flux sont correctement établie a quoi sert le pare-feu windows ? D’autant plus que les pare-feu matériels possèdent des couches de détection d’intrusion relativement poussé.

@Simon

Le pare-feu Windows est le seul aujourd’hui à pouvoir simplement associer le processus du poste client, le protocole, le port, les adresses en une seule règle de pare-feu. Les boîtiers ne peuvent pas savoir lequel des logiciels WinSCP ou PuttY utilisent le port 22 et le bloquer le cas échéant.

Ok, merci pour la précision ! :)

Laisser un commentaire

(requis)

(requis)