CHU de Rouen : donc, un cryptolocker !
LMI a indiqué que l’attaque du système informatique dont a été victime le CHU de Rouen serait l’œuvre d’un « cryptovirus ». Il s’agit peut-être d’un abus de langage de parler en la circonstance d’une cyberattaque, tant le procédé est devenu d’une banalité affligeante. De quoi s’agit-il ?
Des automates logiciels collectent à partir des pages des moteurs de recherche les adresses mails des salariés publiés sur Internet. Dans une 2e temps, ces bots envoient un email, en tâchant de se faire passer pour un des collègues ou pour le correspondant institutionnel du destinataire. Une fois hameçonné, l’utilisateur exécute les instructions contenus dans le message et, selon son niveau de droits, fait que le cryptolocker chiffre plus ou moins de fichiers et de contenus en tout genre sur les lecteurs réseau auquel il a accès. Il peut aussi s’en prendre aux bases de données. Je regarderais d’abord du côté des utilisateurs de l’hôpital dont l’adresse mail est disponible sur Internet.
Il peut y avoir d’autres variantes. Le cryptolocker peut aussi être caché dans un logiciel d’un des fournisseurs, prestataires ou techniciens du service informatique disposant de droits très élevés. Et c’est alors à l’occasion de l’installation du logiciel, après prise d’empreintes éventuelle, que le virus se met à chiffrer les fichiers auxquels le technicien a accès. Il y aurait des possibilités pour que le cryptolocker soit exécuté au travers de votre navigateur par du code JavaScript. Je n’ai, pour l’instant, pas eu vent de tel procédé.