L'hôpital de Villefranche-sur-Saône victime de Ryuk
L’hôpital Nord-Ouest de Villefranche-sur-Saône est injoignable depuis hier, par téléphone ou par Internet. L’établissement est en effet victime du ransomware Ryuk, qui a obligé les équipes informatiques à couper l’accès au SI de l’hôpital, qui tourne depuis au ralenti.
Dans la nuit de dimanche à lundi, l’hôpital Nord-Ouest de Villefranche-sur-Saône est victime d’une attaque par ransomware. On ignore l’étendue des dégâts, mais les équipes informatiques de l’établissement ont été contraints, afin de limiter la propagation du virus, de couper les accès à internet ainsi qu’au système d’information et de déconnecter l’ensemble des postes de travail à l’exception du standard des urgences, seul service désormais joignable.
C’est donc en mode dégradé que fonctionnent les trois sites de l’hôpital Nord-Ouest (Villefranche, Tarare et Trévoux). Une cellule de crise a été mise en place pour assurer la coordination entre les trois sites et leur fonctionnement, tandis que l’Anssi a été appelé à la rescousse et mène l’enquête sur cette attaque imputée à Ryuk, un tristement célèbre ransomware qui touche particulièrement les établissements hospitaliers français.
Les hôpitaux dans le viseur
Si aucun transfert de patient vers d’autres structures n’a été prévu pour le moment, les interventions chirurgicales programmées ce mardi ont été reportées et les personnes devant passer aux urgences sont redirigées vers d’autres services d’urgences. La campagne de vaccination anti-Covid se poursuit, les formalités administratives se faisant désormais sur papier.
“L’ensemble des personnels de l’Hôpital Nord-Ouest fait face à cette attaque avec courage et détermination" explique la direction de l’hôpital, qui doit tenir aujourd’hui une conférence de presse. Le secteur hospitalier en France est la cible de nombreuses attaques depuis fin 2019, à commencer par le CHU de Rouen. Dernièrement c’est le centre hospitalier de Dax qui a été visé par une attaque la semaine passée.
L’État veut accélérer sur la Cyber
Formations, emplois, déploiements, R&D : l’éxecutif entend accentuer ses investissements dans la cybersécurité afin de faire face aux menaces qui se font de plus en plus pesantes notamment sur les collectivités et les hôpitaux.
Nous sommes peut-être parmi les “pays les plus avancés pour la réponse”, nous découvrons encore de nouvelles attaques, étatiques, mafieuses ou criminelles. Ce matin, Emmanuel Macron s’exprimait sur la cybersécurité en France, alors que les attaques contre les hôpitaux et les collectivités se multiplient. Si depuis 2017, les moyens se sont renforcés, des efforts sont encore à faire selon le président de la République, dans un moment "où nous devons continuer d 'accélérer sur la numérisation”.
Sept milliards d’euros du plan de relance vont au numérique, mais la résilience s’impose. D’où un investissement consenti par l’État dans le cadre d’un plan d’accélération dans la cybersécurité. L’Anssi va ainsi se doter de nouveaux moyens, en passant notamment de 400 salariés aujourd’hui à 700. Le Plan France Relance ainsi que le Programme d’Investissement d’Avenir PIA vont en outre être mis à contribution.
Un milliard d’euros pour la cyber
515 millions, dont 290 millions de fonds publics iront au développement de solutions souveraines. 148 millions d’euros, répartis à égalité entre public et privé, serviront à renforcer les synergies entre les acteurs de la filière. 176 millions (dont 150 millions de l’État) seront dédiés à l’adoption de solutions de cybersécurité par les entreprises, les collectivités et les administrations. Enfin, le gouvernement prévoit de soutenir le secteur en fonds propres à hauteur de 200 millions d’euros.
Soit un plan d’environ 1,03 milliard d’euros, dont 720 millions sont apportés par l’État. Avec l’aide de ces fonds, l’exécutif a fixé une série d’objectifs à l’horizon 2025, allant d’un chiffre d’affaires de la filière multiplié par trois à 33 000 emplois en plus, en passant par 20% de brevets supplémentaires et surtout l’émergence de trois licornes. Plusieurs noms ont été avancés, dont ceux de Vade Secure et de Gatewatcher dont le dirigeant, Jacques de La Rivière, nous expliquait en début d’après-midi qu’il était très flatté de cette mention par le président de la République, tout en gardant la tête froide.
Un coordinateur pour la cyber
La stratégie d’accélération cyber de l’État ne consiste pas qu’en une enveloppe financière, mais aussi en plusieurs projets parmi lesquels le Campus Cyber, qui devrait être ouvert d’ici à la fin de l’année, le Grand Défi Cyber, qui soutiendra des projets de R&D, ainsi que le Comité stratégique de filière Industrie de Sécurité signé l’an dernier à l’occasion du FIC. Et pour coordonner l’ensemble des éléments de cette stratégie, l’exécutif a nommé William Lecat, directeur de programme au SGPI (Secrétariat général pour l'investissement).
Après la perte de noms de domaine, Proofpoint poursuit Facebook
Facebook a décidé en novembre de récupérer des noms de domaine semblables aux siens, afin d’éviter une utilisation de facbook et autres instragrarn. Mais cinq de ces domaines étaient utilisés par Proofpoint, qui a déposé une plainte contre Facebook.
Cette histoire à dormir debout commence en novembre dernier. Facebook demande au WIPO (World Intellectual Property Organisation) de récupérer une poignée de “lookalike”, des noms similaires aux siens. Il s’agit pour le réseau social d’éliminer des nuisibles qui exploitent la proximité de ces domaines avec ceux légitimes du géant à des fins malveillantes. Rien d’extraordinaire ici : les grands groupes tels que Microsoft, Google et Facebook sont coutumiers de ce genre d’opérations de récupération de noms de domaine.
Le réseau social a donc exigé, via une UDRP (Uniform Domain-Name Dispute-Resolution) du registrar Namecheap qu’ils lui rendent plusieurs noms de domaine imitant ceux de Facebook et d’Instagram. Fin janvier, le Centre de médiation et d’arbitrage du WIPO ordonne au registrar de s’exécuter : il doit transférer ces noms de domaine à Facebook. Or, parmi eux, facbook-login-com, facbook-login.net, instagrarn.ai, instagrarn.net et instagrarn.org, qui sont tous les cinq utilisés par nul autre que Proofpoint.
A qui appartient Instagrarn ?
L’éditeur de solutions de cybersécurité utilise en effet ces domaines à des fins de sensibilisation au phishing. Et voilà que, dans sa plainte, Facebook justifie la récupération des noms de domaine au motif que leur propriétaire “n'utilise pas les noms de domaine dans le cadre d'une offre de bonne foi de biens ou de services”. La réaction de l’entreprise ne se fait pas attendre : il saisit la cour de district d’Arizona afin de conserver ces noms de domaine.
“Les demandeurs ont des intérêts légitimes à utiliser les noms de domaine dans le cadre de l'offre de bonne foi de services au public” écrit Proofpoint dans sa plainte, arguant que son utilisation des cinq noms est légitime et n’est pas de nature à créer une confusion entre Facebook et ses propres pages. Et surtout qu’il ne s’agit en rien d’un usage malveillant. Et pour cause, en arrivant sur l’une des cinq pages, un message prévient que ce site appartient à Proofpoint et qu’il s’agit d’un test visant à sensibiliser l’internaute au phishing.
Proofpoint demande donc à la cour de justice de réagir pour empêcher que Facebook le prive de ces noms de domaine, puisqu’une décision de justice suspendrait le transfert, à moins que le WIPO ne prenne les devants pour donner raison à l’éditeur contre le réseau social.