CHU de Rouen : attaque et perméabilité systémique
18 novembre 2019
L’interconnexion de tous les ordinateurs dans les CHU est-elle une bonne idée ? Les hôpitaux et, de manière générale, nos organisations se trouvent aujourd’hui fragilisés par la construction de systèmes d’information intégrés et très souvent monolithiques, exposés à des attaques systémiques. J’ai été jeté un coup d’œil dans la presse pour avoir des précisions sur ce qui s’est passé vendredi soir au CHU de Rouen, à 19 h 45. La décision, dès 20 heures, a été d’arrêter tout le système informatique de l’hôpital afin d’éviter la propagation.
A ce stade, nous ne savons pas s’il s’agit d’une attaque de type cryptolocker ou d’un ver informatique. Nous ne savons pas non plus par quel système ou logiciel elle s’est introduite, puis diffusée. En ce dimanche, l’ANSSI a dépêché 7 spécialistes pour identifier l’ordinateur zéro d’où serait partie l’attaque. Pour rappel, un cryptolocker cherche à chiffrer tous les fichiers accessibles par les utilisateurs sur les partages réseau. Sur les serveurs Windows, il existe une possibilité assez simple de bloquer le chiffrement de ces fichiers en installant et configurant le rôle Gestionnaire de ressources du serveur de fichiers. On peut utiliser incron pour bloquer le mécanisme de propagation sur les systèmes Linux.
Pour des raisons de coût et de facilité, tous les automates utilisés aux urgences, les respirateurs sont aujourd’hui branchés sur le réseau général des hôpitaux. J’aimerais savoir si les administrateurs système et réseau ont pensé à configurer les pare-feux des systèmes Windows sur lesquels travaillent les agents du CHU de Rouen. La 1ère chose que font la plupart des sysadmins, du fait souvent de leurs maigres compétences en matière de sécurité informatique ou cybersécurité, est de couper le pare-feu sur le parc des machines et des serveurs Windows. C’est évidemment une faute.
Et puis, il y a toutes ces applications Tcp/Ip qui traînent nonchalamment sur les stations de travail Windows et Linux, par ignorance, sur lesquelles s’appuient ces « virus » pour disposer d’une topologie du réseau à attaquer :
- LLMNR, mDNS
- NetBIOS over IP
- SSDP, UPnP
- WPAD
- WS-Discovery
Messieurs les sysadmins, avez-vous pensé à les désactiver, afin de minimiser le bruit des ces applications Tcp/Ip sur vos réseaux ? Et l’IPv6, êtes-vous sûr d’en avoir besoin ?
L’autre complication dans un hôpital public est son organisation hiérarchique bicéphale : les médecins d’un côté et l’administration de l’autre. Le BYOD ainsi que l’élévation des droits de certains utilisateurs peuvent causer des dégâts tout à fait considérables. Il faut savoir que les 1ers à véhiculer ce type d’attaques sont très souvent les techniciens informatique et les sysadmins eux-mêmes. Seules des formations à la sécurité informatique ou cybersécurité amenant à une plus grande sensibilisation des utilisateurs et à une montée en compétences des personnels techniques sont susceptibles d’endiguer cette lente et inexorable perméabilité de nos organisations à des attaques informatique. Quel que soit le prix payé, la croyance en l’infaillibilité des solutions techniques est une illusion. Le dernier rempart de la sécurité informatique ou cybersécurité, c’est l’utilisateur.