Skip to content
RançongicielContenu

Rançongiciel Conti contre HSE Irlande — arrêt national du système de santé (2021)

Les opérateurs de Conti ont piégé un utilisateur du HSE pour qu'il télécharge une pièce jointe Excel malveillante ; le rançongiciel qui en a résulté a contraint le Health Service Executive à arrêter tous les systèmes informatiques de santé en Irlande et a exfiltré 700 Go de données, dont des informations médicales sur la vaccination COVID-19. Le coût de la remise en état a dépassé 100 millions d'euros.

Victime
Service de santé exécutif (HSE) d'Irlande
Perte
$110.0M

Le 14 mai 2021, le Health Service Executive (HSE) — le service de santé publique national d'Irlande — a été frappé par le rançongiciel Conti. Pour stopper la propagation, le HSE a arrêté l'ensemble de son parc informatique, à l'échelle nationale. Les hôpitaux sont revenus au papier. Les rendez-vous ont été annulés dans tout le pays. Il s'agit de la plus grande attaque par rançongiciel connue contre un système de santé publique dans le monde.

Ce qui s'est passé

L'intrusion a commencé le 18 mars 2021 par une attaque d'hameçonnage classique : une pièce jointe Microsoft Excel envoyée à un utilisateur, ouverte et exécutée. Conti, opéré par le groupe Wizard Spider lié à la Russie, a établi un accès discret et est resté dans le réseau pendant deux mois avant de déclencher sa charge utile de rançongiciel le 14 mai.

La réponse du HSE a été de déconnecter l'intégralité de son parc informatique. Face à l'alternative — laisser le rançongiciel se propager aux systèmes prenant en charge le traitement du cancer, les urgences et les soins de maternité — le HSE a choisi la catastrophe opérationnelle de tout couper. Les personnels hospitaliers sont revenus au papier et au stylo pour les ordonnances, les demandes de laboratoire et le suivi des patients. La maternité nationale a averti d'une « perturbation importante ». Les campagnes de vaccination COVID-19 se sont poursuivies, mais avec des systèmes gravement dégradés.

Conti a exfiltré environ 700 Go de données, dont des informations de santé publique relatives à des milliers de personnes ayant reçu un vaccin contre la COVID-19. Le groupe a exigé 19 999 000 $ de rançon. Le HSE a refusé de payer. Quelques jours plus tard, Conti — face à l'indignation mondiale provoquée par l'attaque d'un système de santé en pleine pandémie — a publié un outil de déchiffrement gratuit. Mais le groupe a conservé les données volées et a menacé de les vendre ou de les publier.

La Haute Cour d'Irlande a émis des injonctions bloquant la publication des dossiers volés. La remise en état s'est étalée sur plusieurs mois et a été estimée à au moins 100 millions d'euros pour la transformation informatique, le soutien partenaires et les travaux de prestataires — l'impact global (capacité de soins perdue, refonte informatique) étant nettement plus élevé.

Impact

  • Tous les systèmes informatiques du HSE arrêtés à l'échelle nationale ; prestation de soins dégradée pendant des semaines.
  • ~700 Go de données exfiltrées, dont des PHI sur la vaccination COVID-19.
  • Le HSE a refusé de payer la rançon de 19 999 000 $.
  • Conti a publié un déchiffreur gratuit sous la pression publique mais a conservé les données volées.
  • Coût de remise en état d'au moins 100 millions d'euros ; estimations ultérieures plus élevées.

Pourquoi cela compte

L'attaque du HSE est la référence canonique pour comprendre pourquoi les services de santé nationaux sont particulièrement exposés aux rançongiciels : budgets informatiques minces, architectures fragmentées, segmentation faible, dépendances opérationnelles vitales et forte exposition médiatique qui crée un levier pour l'attaquant. Le bilan post-incident irlandais réalisé par PWC — publié ouvertement — a été étudié par tous les grands services de santé occidentaux depuis.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
110.0M
USD · 110 000 000 $US
Rançon demandée
$20.0M
Rançon payée
Refusée
  • Remédiation$110.0M

Chronologie

  1. Un utilisateur d'un site du HSE télécharge une pièce jointe Microsoft Excel piégée provenant d'un courriel d'hameçonnage ; les opérateurs de Conti établissent un accès initial.

  2. Conti déclenche le rançongiciel à travers les réseaux du HSE. Le HSE arrête tous les systèmes informatiques de santé en Irlande. Les hôpitaux reviennent au papier-crayon ; les rendez-vous sont annulés à l'échelle du pays.

  3. Conti publie un déchiffreur gratuit pour le HSE — apparemment après que la publicité d'une attaque contre un service de santé national est devenue trop dommageable — mais menace de vendre ou publier les 700 Go de données exfiltrées sauf paiement de 19,999 M$.

  4. Le HSE refuse de payer ; la Haute Cour d'Irlande émet des injonctions bloquant la publication des données volées.

  5. Le directeur général du HSE estime publiquement que les coûts de remise en état pourraient dépasser 100 millions d'euros ; le coût global (capacité perdue, refonte informatique) sera plus tard projeté à un montant bien supérieur.

  6. Le bilan post-incident indépendant de PWC identifie comme facteurs aggravants un sous-financement systémique de la cybersécurité du HSE, l'absence de MFA sur les comptes critiques et une segmentation faible.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/Health_Service_Executive_ransomware_attack
  2. krebsonsecurity.comhttps://krebsonsecurity.com/2021/12/inside-irelands-public-healthcare-ransomware-scare/
  3. cpomagazine.comhttps://www.cpomagazine.com/cyber-security/irish-healthcare-system-requires-more-than-100-million-to-recover-from-the-conti-ransomware-attack/
  4. hhs.govhttps://www.hhs.gov/sites/default/files/lessons-learned-hse-attack.pdf
  5. paubox.comhttps://www.paubox.com/blog/conti-ransomware-attack-irelands-healthcare-system-cost-100m

Incidents liés

RançongicielContenu

Rançongiciel contre le HSE irlandais (Conti)

Le rançongiciel Conti a paralysé le Health Service Executive irlandais, forçant l'annulation de rendez-vous externes à l'échelle nationale pendant des semaines. Conti a fourni le déchiffreur gratuitement ; la récupération a tout de même coûté plus de 100 M€ selon les estimations.

Victim
Health Service Executive (HSE) d'Irlande
Loss
$130.0M
Records
700.0K
RançongicielContenu

Attaque par rançongiciel Conti contre le gouvernement du Costa Rica

Conti a chiffré 27 institutions gouvernementales costaricaines, dont le ministère des Finances, paralysant la collecte des impôts et les douanes pendant des mois. Le président Chaves a déclaré l'état d'urgence national — le premier état d'urgence de l'histoire dû à un cyberincident.

Victim
Gouvernement du Costa Rica (27 institutions dont le ministère des Finances, les Douanes, la Sécurité sociale)
Loss
$130.0M
RançongicielRésolu

Cyberattaque du système de santé de Terre-Neuve-et-Labrador

Une attaque par rançongiciel Hive contre le réseau de soins de santé de Terre-Neuve-et-Labrador a paralysé les systèmes informatiques à l'échelle de la province, forçant l'annulation de milliers de rendez-vous et d'interventions dans ce que les responsables ont qualifié de pire cyberattaque de l'histoire du Canada.

Victim
Newfoundland and Labrador Centre for Health Information / Eastern Health