Droits pratiques
20H11 - mardi 23 août 2022

Cyber-sécurité : les gestes qui auraient peut-être évité le piratage du CHSF de Corbeil-Essonnes et d’Yerres. La chronique de Raymond Taube

 

Après la cyberattaque du Centre hospitalier sud-francilien de Corbeil-Essonnes, ayant suivi celles des hôpitaux de Vitry-le-François, d’Arles, d’Ajaccio, ou encore de Montpellier, il est utile de rappeler quelques gestes barrière accessibles à tous, au travers des mésaventures fictives de Gérard L., agriculteur à Chassagne, que l’on pourrait remplacer par Stéphane P, commerçant Lyon ou Brigitte S., restauratrice à Paris.

 

Gérard L. est agriculteur à Chassagne, à quelques kilomètres de La Rochelle. Ce matin, il met machinalement en route son ordinateur pour prendre connaissance de ses mails. Encore une fichue publicité pour des engrais à prix fracassé. Il clique sur le lien de désabonnement. Rien ne se passe. Pas même un message de confirmation. Curieusement, le disque dur semble tourner sans relâche, à en croire le clignotement de sa diode. Puis soudain, les applications ouvertes (son logiciel de gestion, sa messagerie, son navigateur web…) se ferment les unes après les autres. Le PC s’éteint, puis redémarre. Écran noir et disque dur qui s’emballe. Puis une suite de chiffres et de lettres défile à toute vitesse sur l’écran, comme dans le film matrix. Gérard L. est paniqué. Il ne sait quoi faire. Il hésite, se lève pour débrancher la prise de courant quand un message s’affiche sur l’écran, en anglais et en français :

« Votre ordinateur a été piraté et toutes les données cryptées. Si vous voulez y accéder à nouveau, il vous faudra payer la modique somme de 0,25 bitcoin (environ 10.000 euros au cours du jour) sur un compte bancaire turc. Le code de décryptage vous sera transmis dès réception du règlement. Dix jours après réception de ce message, vos données seront définitivement inaccessibles. Elles seront détruites ou utilisées à notre profit. »

Gérard L., comme tant d’autres, vient d’être victime d’un piratage par phishing, en français hameçonnage ou filoutage, consistant pour le pirate à se faire passer pour un autre, comme une banque ou un organisme public. Par exemple, on est invité à entrer son identifiant et son mot de passe pour effectuer une opération réclamée par l’expéditeur du mail. Mais le pirate a été particulièrement rusé, car sa victime n’a donné aucune information, ne s’est connecté à aucun site internet, ni n’a cliqué sur une pièce jointe. Le piège, plus subtil, était dans le lien de désabonnement, qui n’en était pas un. En un clic, Gérard L. a téléchargé et installé sur sa machine un ransomware (ou rançongiciel) que ni le pare-feu ni l’antivirus, pourtant à jour, n’ont détecté. Il se souvient avoir été avisé il y a quelques jours d’une mise à jour de sécurité de son système d’exploitation, qu’il a remis à plus tard. Négligence fatale, si c’est bien par là qu’est passé le pirate. Gérard L. n’est pas au bout de ses (mauvaises) surprises. Il n’a jamais été conscient que dans ce monde hyper connecté, il faut s’astreindre à une véritable hygiène informatique et adopter des gestes-barrières, comme avec la Covid. Pour lui, ce qui importait, c’est que tout fonctionne. La cybercriminalité, ça n’a jamais été son affaire. C’est pour les grosses boites ! Qui peut bien s’intéresser à un pauvre agriculteur de Charente-Maritime ?

Gérard L. n’a aucune sauvegarde de ses données. Il ne peut plus accéder à ses comptes de messagerie ni à son service de cloud. Les mots de passe ont été changés. Ou plutôt le mot de passe unique : « Nathalie 1986 », prénom et année de naissance de sa femme, à laquelle il n’ose avouer le désastre.

Le téléphone sonne. C’est son banquier. Il l’avise de virements douteux sur un compte en Turquie, et demande confirmation. C’est la seule bonne nouvelle de la journée ! Mais comment continuer à travailler si l’on a perdu son fichier client, sa gestion, sa comptabilité ?

Bien que non assuré contre ce risque, Gérard L. s’en sortira. Il a retenu la leçon, et ne pensait pas qu’elle était si simple à comprendre et mettre en pratique. Comment ?

Les gestes informatiques qui sauvent :

Bien entendu, ce n’est pas en quelques lignes que l’on donnera au lecteur (et à Gérard L.) la recette d’une sécurité informatique absolue. Du reste, la première démarche consiste à évaluer si l’on est une cible privilégiée, en fonction de son activité et de son poids économique, voire géopolitique. A priori, Gérard L. n’intéresse pas les autorités chinoises ni les hackeurs russes. Mais qui sait ? L’agroalimentaire est un secteur stratégique et même vital. Dans certains domaines, comme la conformité au RGPD (règlement général européen sur la protection des données à caractère personnel) sur lequel nous nous pencherons demain, ou la sécurisation d’une moyenne ou grande structure, il est indispensable faire appel à des compétences externes, parfois de la formation, des audits, l’intervention de prestataires, voire des investissements en matériels et logiciels. Mais les gestes de base permettent de contrecarrer la plupart des actes de piratage ou au moins d’en limiter considérablement les effets. Dans l’exemple, certes fictif mais très représentatif de Gérard L. (le rançonnage est un fléau très rependu), notre victime a pris les initiatives suivantes après sa mésaventure :

  • Les sauvegardes :chaque jour, Gérard L. sauvegarde ses données, y compris celles se trouvant sur un cloud, sur deux disques durs externes (en alternant chaque jour) qui ne sont branchés à la machine que pour les besoins de ladite sauvegarde. Des entreprises perdent leurs données, sans piratage, simplement à la suite d’une défaillance du disque dur. D’ailleurs, Gérard L. effectue régulièrement un diagnostic de ses disques dur grâce à un utilitaire gratuit qu’il a trouvé sur internet.
  • Les mots de passe :Gérard L. utilise un mot de passe par compte ou site web et les conserve dans un « trousseau » de mots de passe, comme il en existe également plusieurs entièrement gratuits (par exemple keepass). Ils sont en général déclinés en versions Windows, MacOS, Androïd et IOS, de sorte qu’il aura toujours ses mots de passe sous la main. Ces mots de passe doivent être longs, composés de caractère divers (jamais un prénom ou « 12345 »). Il ne sera nécessaire de retenir que le seul mot de passe permettant l’ouverture du trousseau. Le reste, c’est du copier-coller. Gérard L. vérifie également sur le site https://haveibeenpwned.com/ si son identifiant n’a pas déjà piraté. Si c’est le cas, pas de panique (en général !), mais l’heure est venue d’appliquer les préconisations susmentionnées.
  • Les mails :Gérard L. ne clique plus jamais sur un lien, a fortiori une pièce jointe, sans être certain de l’identité de l’expéditeur. Il vaut mieux placer les mails douteux dans les SPAM (courriers indésirables) et vider régulièrement la boite mails desdits SPAM. Par ailleurs, s’il doit envoyer à un tiers un mail important, stratégique ou confidentiel, il le chiffre (ou crypte) d’abord. Mais comme ces hypothèses sont rares pour Gérard L., et qu’il veut faire simple, il utilise le « système D » : le message confidentiel et ou la pièce jointe sont traités avec un simple logiciel de compression gratuit (qui génère des archives zip) permettant de chiffrer la pièce jointe (Peazip ou 7-Zip par exemple). Gérard L. définit un mot de passe qu’il communique au destinataire par téléphone ou SMS (comme la double authentification lorsque l’on effectue un achat en ligne). Trois clics de souris, et le tour est joué !
  • Le chiffrage des unités de stockage (disques durs) :Gérard chiffre le ou les disques durs de ses machines comportant des données importantes, si cela n’est pas fait automatiquement (c’est en général le cas des disques SSD). Cela peut éventuellement ralentir légèrement le système, mais rarement de manière significative. Une fois que ce sera fait, aucune intervention ne sera requise pour accéder à ses données, si ce n’est d’entrer le mot de passe de la session Windows, Mac ou Linux. Notons qu’avant de chiffrer un disque dur contenant des données, il faut effectuer une sauvegarde non chiffrée, quitte à l’effacer ensuite. En effet, en cas de coupure de courant ou autre incident technique pendant le chiffrement, les données pourraient être perdues.
  • Le Wifi :quand Gérard L. est en voyage et utilise son ordinateur portable, il prend la précaution de se rendre invisible. Il est possible qu’à proximité de son hôtel ou d’une gare, dans un rayon qui va de quelques mètres à quelques dizaines de mètres, un hacker, un pirate, utilise sa machine pour « sniffer », comme il est dit dans le jargon du métier, les données transitant par ce « hot spot », ce réseau WIFI public et non protégé. Certains pirates vont jusqu’à créer un hot spot, ou usurper le nom du hot spot d’un établissement. Par exemple, on peut se connecter sur ce que l’on croit être le réseau de son hôtel, et le pirate n’a qu’à se servir !
  • Les mises à jour :Outre l’antivirus qui doit toujours être à jour (c’est en général automatique), Gérard applique immédiatement les mises à jour de sécurité du système d’exploitation de son ordinateur comme de son smartphone. Les autres mises à jour (esthétique, nouvelles fonctionnalités, etc.) peuvent attendre.
  • Le verrouillage des sessions :Si Gérard perd son ordinateur portable avant que la batterie soit vide, il ne voudrait pas que n’importe qui puisse accéder à ses données. Si, comme nous l’avons vu, l’unité de stockage est chiffrée, il faudra un mot de passe pour y accéder. Mais si ce n’est pas le cas (une erreur !), il ne faudrait pas que l’utilisateur accède à toutes ses données locales ou en ligne. Il est donc indispensable qu’en ouvrant l’écran, un mot de passe soit exigé.

Voilà pour le moment. Il n’y a évidemment pas que cela, et certains conseils donnés ici sont un chouïa (mais un chouïa seulement) plus compliqués à mettre en œuvre, comme le chiffrement du disque ou la protection du wifi. Mais si Gérard avait appliqué ces quelques gestes barrières, le pirate qui lui a crypté ses données contre rançon n’aurait rien pu en faire, et Gérard aurait, au pire, été contraint de réinstaller son système. Il aurait récupéré ses données grâce à ses sauvegardes. Nous avons dit « gestes barrières ». Eh oui, et sans vaccin ! 

 

Raymond Taube

Directeur de l’IDP – Institut de Droit Pratique 

 

L’IDP intègre la sécurité informatique à ses formations sur les RGPD, le DPI (dossier patient informatisé), les écrits et dossiers professionnels, en sus des formations qui lui sont spécifiques.

 

Directeur de l'IDP - Institut de Droit Pratique