Attaque par rançongiciel de l'hôpital SickKids

Le 18 décembre 2022, l'Hôpital pour enfants malades (SickKids) de Toronto — l'un des plus grands et des plus respectés hôpitaux pédiatriques au monde — a été frappé par une attaque par rançongiciel pendant la période des fêtes, perturbant les systèmes cliniques et corporatifs d'un hôpital pour enfants et déclenchant une séquence d'événements inhabituelle impliquant le cartel de rançongiciels LockBit.

Ce qui s'est passé

L'attaque a touché les systèmes internes et corporatifs, les lignes téléphoniques de l'hôpital et le site Web de SickKids. L'hôpital a activé un Code Gris — sa désignation pour une défaillance des systèmes — et a averti que l'incident provoquait des retards dans la récupération des résultats de laboratoire et d'imagerie et contribuait à allonger les temps d'attente des patients. Fait crucial, l'attaque n'a chiffré qu'un nombre limité de systèmes, et SickKids a souligné qu'aucun transfert de patient ni arrêt opérationnel n'avait été nécessaire.

SickKids a travaillé tout au long des fêtes pour rétablir le service, rapportant qu'environ 50 % des systèmes prioritaires étaient de nouveau en ligne le 29 décembre et une récupération quasi complète à la mi-janvier 2023. L'hôpital a déclaré n'avoir trouvé aucune preuve que des informations personnelles de patients ou du personnel aient été compromises.

Des excuses rares de la part de LockBit

L'aspect le plus remarquable de l'incident a été la réponse de l'attaquant. Le 31 décembre 2022, le groupe de rançongiciel-en-tant-que-service LockBit a publié une déclaration s'excusant pour l'attaque et offrant à SickKids un déchiffreur gratuit. LockBit a affirmé que l'un de ses affiliés avait enfreint les règles déclarées du gang interdisant les attaques contre les établissements de santé et autres institutions « critiques », et que le partenaire fautif avait été bloqué et expulsé de son programme d'affiliés.

SickKids a pris acte des excuses et a déclaré qu'il analysait le déchiffreur tout en poursuivant sa propre remédiation. Les experts en sécurité ont mis en garde sur le fait que de tels outils ne récupèrent généralement qu'environ deux tiers des fichiers chiffrés et ont mis en doute la sincérité du geste de LockBit, y voyant plutôt une tactique de gestion de réputation et de recrutement — le groupe ayant notoirement refusé d'accorder la même courtoisie à d'autres victimes.

Impact

• Retards cliniques dans les résultats de laboratoire et d'imagerie et allongement des temps d'attente des patients sur une période de plusieurs semaines.
• Perturbation des systèmes téléphoniques et du site Web public.
• Aucun vol confirmé de données de patients ou d'employés.
• Une récupération quasi complète en environ quatre semaines.

Pourquoi c'est important

L'attaque de SickKids a cristallisé le débat sur les affiliés de rançongiciels ciblant les hôpitaux et sur le vide de « l'éthique » cybercriminelle. Elle a démontré à la fois le risque clinique réel des attaques contre les soins pédiatriques et la responsabilité chaotique au sein des opérations de rançongiciel-en-tant-que-service, où une marque centrale comme LockBit pouvait désavouer publiquement les actions d'un affilié tout en portant la responsabilité ultime de les avoir armés. L'épisode est devenu un exemple fréquemment cité dans la cybersécurité du secteur de la santé et dans la campagne internationale d'application de la loi qui démantèlerait l'infrastructure de LockBit en 2024.