Vague de rançongiciel contre les hôpitaux roumains
Une attaque par rançongiciel Backmydata (famille Phobos) contre le système d'information hospitalier partagé Hipocrate a chiffré les données de 25 hôpitaux roumains et forcé environ 75 autres à se déconnecter, renvoyant plus de 100 établissements au papier.
- Victime
- Hôpitaux roumains (Hipocrate HIS / Romanian Soft Company)
Aux premières heures du 12 février 2024, une attaque par rançongiciel a frappé le système d'information hospitalier Hipocrate (HIS) — une plateforme de gestion utilisée dans toute la Roumanie — chiffrant les données de patients et administratives de 25 hôpitaux et forçant environ 75 autres à mettre leurs systèmes hors ligne. Au total, plus de 100 établissements de santé ont été touchés, dans ce que l'autorité cyber roumaine a qualifié de l'un des incidents les plus perturbateurs jamais subis par le secteur de la santé du pays.
Ce qui s'est passé
Les attaquants ont déployé Backmydata, une variante de la famille de rançongiciels Phobos, contre les serveurs de production de HIS, un logiciel développé et exploité par l'éditeur roumain Romanian Soft Company (RSC). Comme des dizaines d'hôpitaux partageaient la même plateforme hébergée de façon centralisée, une seule compromission s'est propagée à tout le réseau — une défaillance tiers / chaîne d'approvisionnement classique dans une infrastructure critique.
Les symptômes sont d'abord apparus le 10 février à l'hôpital pédiatrique de Pitesti, puis se sont propagés dans la nuit du 11 au 12 février. Quelque 400 ordinateurs et serveurs ont été chiffrés. La rançon exigée était de 3,5 BTC — environ 157 000 euros (à peu près 170 000 USD) à l'époque — pour un déchiffreur et l'engagement de ne pas publier les données volées. Le message ne comportait qu'une adresse e-mail et ne nommait aucun groupe.
Impact
- 25 hôpitaux ont eu des données chiffrées ; environ 75 établissements supplémentaires, dont des centres d'oncologie, de cardiologie et de pédiatrie, ont déconnecté HIS par précaution.
- Les hôpitaux touchés sont revenus aux dossiers papier pour les ordonnances, les admissions et la documentation, ralentissant les soins pendant plusieurs jours.
- Les sites concernés allaient de grands hôpitaux de Bucarest à des établissements régionaux et d'urgence.
Réponse
La Direction nationale de la cybersécurité (DNSC) de Roumanie, avec les unités cyber du renseignement national et de la police, a piloté la réponse. Élément crucial, la DNSC a indiqué que la plupart des hôpitaux touchés disposaient de sauvegardes récentes — données enregistrées un à trois jours plus tôt, avec un seul cas à douze jours — ce qui a rendu la reprise possible sans payer la rançon. Les autorités ont publiquement déconseillé le paiement et toute négociation avec les attaquants.
Aucune exfiltration confirmée de données de patients n'a été constatée au moment des faits ; l'incident était avant tout un événement de chiffrement-extorsion plutôt qu'une fuite massive de données. Les hôpitaux ont restauré HIS à partir des sauvegardes au cours des semaines suivantes.
Pourquoi c'est important
Cet épisode est un cas emblématique de résilience nationale du secteur de la santé. Il a montré comment une plateforme logicielle partagée peut transformer une seule infection par rançongiciel en panne à l'échelle d'un pays, et comment des sauvegardes hors ligne disciplinées et une politique de non-paiement peuvent neutraliser l'extorsion. Il a accéléré la vigilance roumaine et européenne sur les obligations de cybersécurité des prestataires de santé et des éditeurs de logiciels au titre de la directive NIS2, et est devenu un exemple fréquemment cité de la nécessité, pour les systèmes de santé informatisés centralisés, de segmentation, de reprise testée et de responsabilisation des fournisseurs.
Chronologie
Les premiers symptômes de l'intrusion apparaissent à l'hôpital pédiatrique de Pitesti, le site touché le plus ancien connu publiquement.
Dans la nuit du 11 au 12 février, les attaquants déploient le rançongiciel Backmydata sur les serveurs de production du système d'information Hipocrate (HIS).
La Direction nationale de la cybersécurité (DNSC) confirme l'attaque ; 25 hôpitaux ont des données chiffrées et environ 75 autres déconnectent HIS par précaution.
La rançon exigée est de 3,5 BTC (environ 157 000 euros / ~170 000 USD) pour un déchiffreur et la promesse de ne pas divulguer les données ; le message ne contient qu'une adresse e-mail, sans nom de groupe.
La DNSC indique que la plupart des hôpitaux touchés disposent de sauvegardes récentes (1 à 3 jours, une de 12 jours) et déconseille de payer la rançon.
Les hôpitaux restaurent progressivement HIS à partir des sauvegardes ; les établissements fonctionnent sur dossiers papier pendant la reprise.
Sources
- bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/ransomware-attack-forces-100-romanian-hospitals-to-go-offline/
- therecord.mediahttps://therecord.media/romanian-hospitals-offline-after-ransomware-attack
- securityweek.comhttps://www.securityweek.com/ransomware-attack-knocks-100-romanian-hospitals-offline/
- darkreading.comhttps://www.darkreading.com/application-security/ransomware-epidemic-romanian-hospitals-tied-healthcare-app
- theregister.comhttps://www.theregister.com/2024/02/14/romanian_hospital_ransomware_crisis/