Attaque par rançongiciel du centre médical Hillel Yaffe
Le rançongiciel DeepBlueMagic a paralysé le centre médical israélien Hillel Yaffe, verrouillant l'ensemble des systèmes informatiques de l'hôpital. Hôpital public interdit de payer une rançon, il a fonctionné sur papier et systèmes de secours pendant des semaines, mettant environ deux mois à se rétablir totalement.
- Victime
- Hillel Yaffe Medical Center
Le 13 octobre 2021, le centre médical Hillel Yaffe à Hadera, en Israël, a été frappé par le rançongiciel DeepBlueMagic qui a verrouillé l'ensemble des systèmes informatiques de l'hôpital. L'attaque — l'une des plus dommageables jamais subies par le secteur de la santé israélien — a contraint un hôpital général de 1 000 lits à revenir au papier pendant des semaines et a mis environ deux mois à être totalement résolue.
Ce qui s'est passé
DeepBlueMagic, une souche observée pour la première fois en milieu naturel en août 2021, se distingue par son détournement d'outils de chiffrement légitimes : il s'appuie sur un produit tiers de chiffrement de disque et sur Microsoft BitLocker pour verrouiller les lecteurs, ce qui l'aide à échapper à la détection antivirus classique. Les attaquants seraient entrés en exploitant une vulnérabilité d'un équipement VPN Pulse Connect Secure.
Une fois déclenché, le rançongiciel a chiffré les systèmes à tous les niveaux de l'hôpital, empêchant le personnel de se connecter aux applications cliniques et administratives. L'hôpital est revenu à des flux de travail manuels sur papier, a reporté les interventions non urgentes et réorienté certains patients entrants vers des établissements voisins.
Conséquences
- Une étude clinique évaluée par les pairs portant sur l'incident a constaté une perturbation opérationnelle mesurable : le taux d'occupation moyen de l'hôpital est passé d'environ 83 % à 64 %, et l'activité chirurgicale et d'urgence a fortement chuté les premiers jours avant de se rétablir progressivement.
- Les services à délai critique — cathétérismes cardiaques, accouchements et soins ambulatoires essentiels — ont été largement maintenus, témoignant de l'improvisation du personnel en conditions dégradées.
- Le rétablissement s'est effectué par étapes sur environ huit semaines : les systèmes de laboratoire sont revenus en premier, suivis de la radiologie, puis du dossier médical électronique, la restauration complète incluant la messagerie étant atteinte vers la huitième semaine.
Attribution et la question de la rançon
Les responsables cyber du ministère israélien de la Santé ont évalué les attaquants comme probablement basés en Chine et purement motivés par l'argent — distincts des campagnes idéologiques liées à l'Iran qui frappaient Israël à la même période. Élément crucial, en tant qu'hôpital public, Hillel Yaffe était légalement interdit de payer la rançon, l'obligeant à reconstruire plutôt qu'à racheter l'accès.
Pourquoi c'est important
L'attaque de Hillel Yaffe est un exemple emblématique du rançongiciel comme enjeu de sécurité des patients. Elle a montré que, même sans fuite publique de données, le déni d'accès aux systèmes cliniques peut dégrader les soins dans tout un hôpital pendant des semaines. L'incident — et la vague parallèle de tentatives d'attaques contre d'autres hôpitaux israéliens la même semaine — a poussé le système de santé israélien à accélérer la segmentation réseau, les sauvegardes hors ligne et le correctif des VPN, et il demeure l'une des études les mieux documentées de l'impact clinique réel d'une cyberattaque hospitalière.
Chronologie
Le rançongiciel DeepBlueMagic chiffre les systèmes du centre médical Hillel Yaffe, verrouillant le personnel hors de tous les systèmes numériques de l'hôpital.
L'hôpital bascule en mode manuel sur papier et réoriente certains patients ; les interventions non urgentes sont reportées.
Les médias israéliens rapportent un Hillel Yaffe « paralysé » ; les autorités alertent sur une vague plus large de tentatives d'attaques contre les entités de santé israéliennes.
Les responsables cyber du ministère de la Santé évaluent les attaquants comme probablement basés en Chine et purement motivés par l'argent ; en tant qu'hôpital public, Hillel Yaffe est interdit de payer.
Après une restauration par étapes des systèmes de laboratoire, de radiologie et du dossier médical électronique, l'hôpital atteint un rétablissement complet environ huit semaines après l'attaque.
Sources
- govinfosecurity.comhttps://www.govinfosecurity.com/ransomware-attack-on-israeli-medical-center-raises-alarm-a-17740
- varonis.comhttps://www.varonis.com/blog/deepbluemagic-ransomware
- pmc.ncbi.nlm.nih.govhttps://pmc.ncbi.nlm.nih.gov/articles/PMC10904636/
- jpost.comhttps://www.jpost.com/breaking-news/cyberattack-attempts-towards-israeli-hospitals-thwarted-682221