Il ne s'agit pas de n'importe quelle attaque. Les forces de sécurité de l'État espagnol spécialisées dans les cyberattaques et la cybersurveillance entrent en action après avoir vérifié que le groupe criminel RansomHouse est à l'origine de l'incident qui a paralysé le complexe sanitaire.
Il s'agit d'une puissance criminelle importante : elle opère dans l'ombre, elle est délocalisée et la cyberpolice n'a pas de mal à la localiser ; la seule chose dont la presse est informée est qu'elle opère depuis l'étranger et qu'elle utilise le même "modus operandi" pour cyber-pirater le réseau de l'entité vulnérable en échange d'une rançon économique, qui est le seul moyen de la libérer et d'en reprendre le contrôle.
Le ransomware est une forme de logiciel malveillant qui crypte les fichiers d'une victime et l'attaquant demande une rançon en échange de la restauration de l'accès aux données contre paiement. "Les utilisateurs reçoivent des instructions sur la manière de payer pour "leur libération" afin d'obtenir la clé de décryptage ; les rançons peuvent aller de quelques centaines de dollars à des milliers, et sont toujours payées en bitcoins".
Le Clínic, infrastructure vitale pour la santé, a posé un énorme problème. Dans les 48 heures qui ont suivi le détournement virtuel, le centre a interrompu plus de 150 opérations chirurgicales et annulé plus de 3 000 consultations ; il a également cessé de répondre à toutes les urgences.
Alors que tout était automatisé, les prescriptions médicales des patients hospitalisés ont dû être revues manuellement. La principale préoccupation de la direction est liée à la recherche contre le cancer et les maladies rares menée par ce centre spécialisé réputé pour ses nombreuses transplantations et lié à la Fondation Trasplant Service.
L'hypothèse est que cette attaque a été perpétrée dans le but de voler des informations sur ces nombreux et précieux projets de recherche sur le cancer et d'autres maladies rares.
Ni les experts de l'Agence catalane de cybersécurité ni les Mossos d'Esquadra ne sont parvenus à résoudre le problème dans les plus brefs délais, révélant la vulnérabilité des infrastructures et les dégâts que peuvent causer ces puissances opérant dans l'ombre d'Internet.
Tomás Roy, directeur de l'Agence catalane de cybersécurité, a déclaré qu'il s'agissait d'une attaque "complexe" et que, contrairement à ce qui se passe dans ces cas-là, elle ne suit pas le même schéma car elle inclut des techniques nouvelles et plus sophistiquées.
Il s'agit de la première attaque majeure par ransomware contre un grand hôpital en Espagne et elle a atteint son but, étant donné que, selon les sources consultées, les experts en cybersécurité du pays ibérique, au moins une douzaine d'attaques sont tentées chaque jour contre des infrastructures vitales par des "terroristes étrangers" opérant sur l'internet.
Il y a quelques mois, une attaque par ransomware a eu lieu aux États-Unis contre le fournisseur Community Health Systems (CHS), qui gère les données des patients dans un réseau de 80 hôpitaux à travers les États-Unis. À cette occasion, le groupe attaquant a dérobé les données d'un million de patients hospitalisés.
Cette forme de cybercriminalité a de nombreux objectifs : voler des données électorales, intervenir dans les résultats des élections pour saper la démocratie et la confiance dans les institutions, pirater des entités publiques et privées pour obtenir des rançons et des gains financiers, agir délibérément en tant qu'acteur terroriste pour nuire à la population et semer le chaos, la confusion et le désordre.
Toute une guerre hybride se déroule dans différents pays, dans différentes sphères, et elle n'a pas nécessairement recours à des bombes, à des missiles ou à une armée d'invasion. Cette nouvelle façon de perturber et de troubler la stabilité d'autres pays consiste surtout à générer le chaos par des cyberattaques, à provoquer le terrorisme, à utiliser les flux massifs d'immigration clandestine comme arme de guerre, à profiter des réseaux sociaux pour désinformer, semer la confusion et déverser un discours de haine et de rupture sociale. Une guerre hybride qui se nourrit aussi d'une guerre biologique autour d'un virus inconnu.
Dans le cas du virus SRAS-CoV-2, trois ans après la déclaration de la pandémie, on ne sait toujours pas comment l'agent pathogène est apparu ; dans la cybercriminalité, il n'est pas non plus facile de détecter les coupables, car ils sont presque toujours délocalisés. Ils constituent une puissance obscure plutôt pernicieuse et inquiétante.
Selon Cybersecurity Ventures, la cybercriminalité est en plein essor : d'ici 2023, elle pourrait avoir un impact de près de 8 000 milliards de dollars au niveau mondial et les prévisions pour 2025 sont de 10 500 milliards de dollars.
Appel à la sécurité
Lors de la dernière rencontre entre Joe Biden et Vladimir Poutine à Genève en 2021, le président américain a dit en face au dirigeant russe qu'il était prêt à répondre avec toutes ses capacités aux cyber-attaques contre les États-Unis, qui visent à endommager les oléoducs et même les systèmes d'assainissement de l'eau.
En mai 2021, le Colonial Pipeline a été détourné, privant 17 États américains de carburant et provoquant le chaos ; deux mois plus tôt, lors d'une autre cyberattaque, une station d'épuration d'Oldsmar, en Floride, avait détecté à temps que "quelqu'un" manipulait les niveaux chimiques d'hydroxyde de sodium pour empoisonner l'eau de la ville.
En tant que correspondant, j'ai pu assister à cette réunion. À un moment donné, le président Biden a posé la question suivante à Poutine : "Je vous demande si vous aimeriez que ces cybercriminels s'attaquent à vous, par exemple à vos raffineries. Aimeriez-vous cela ?"
Biden a ensuite ajouté que son pays était prêt à répondre à chaque cyberattaque avec ses capacités maximales, car "ces criminels à la rampe doivent être arrêtés" et, en fait, il a invité Poutine à les limiter ensemble "parce que c'est inacceptable". Il a également insisté auprès du dirigeant russe sur le fait que 16 points clés de l'infrastructure américaine doivent être tenus à l'écart de toute attaque, faute de quoi ils riposteront.
En janvier dernier, le Service fédéral de sécurité russe a signalé l'arrestation de membres du groupe REvil et, à la demande du FBI, il a été possible d'appréhender quatorze membres répartis dans différentes régions de Russie. La Maison Blanche a déclaré que REvil était à l'origine de l'attaque contre la société Colonial Pipeline.
Comment les a-t-on trouvés ? Selon la justice russe en suivant l'itinéraire de l'argent reçu pour leurs nombreux cyberdétournements, bien qu'il s'agisse dans tous les cas d'opérations de blockchain.
Il existe un autre groupe également lié à la Russie, Evil Corp, qui figure sur la liste des personnes les plus recherchées par les États-Unis dans le domaine de la cybercriminalité, mais la justice et les services d'enquête américains ont besoin de la coopération des autorités russes. Ils ne l'ont pas.
Le FBI et Interpol ont déjà réussi à arrêter et à démanteler d'autres groupes de pirates informatiques situés en Ukraine, en Corée du Sud, en Roumanie et au Koweït ; mais il n'a pas été possible de faire de même dans le cas d'Evil Corp parce qu'il se trouve à l'intérieur de la Russie.
Récemment, le FBI et la police européenne, en collaboration avec les autorités allemandes, ont réussi à appréhender une cellule de 11 personnes d'un groupe prétendument lié à Evil Corp à Düsseldorf ; ils sont accusés d'avoir attaqué le Service national de santé britannique et l'hôpital universitaire de Düsseldorf par le biais de la technique DoppelPaymer.
"Avec DoppelPaymer, des données volées à quelque 200 entreprises dans diverses parties du monde, y compris le secteur de la défense américain, ont été divulguées", selon Brett Callow, analyste à la société de cybersécurité Emisosft.
Le rapport "Ransomware in a Global Context", préparé par Virus Total, indique que plus de 130 variantes de ransomware ont été détectées en 2020, la plupart d'entre elles étant liées à des attaques menées en 2020 contre 14 des 16 secteurs d'infrastructures critiques aux États-Unis. En fait, les alarmes concernant la violation de la sécurité nationale des États-Unis ont été si fortes que ce sont ces cyberattaques massives qui ont motivé Biden à rencontrer Poutine à Genève en juin 2021.
Dès qu'il le peut, le président Biden rappelle presque toujours dans ses discours la menace cybernétique, qu'il considère comme une "guerre des tirs" qui nuit aux entreprises de toutes tailles dans le but de provoquer une situation d'urgence en matière de sécurité nationale.
Pour ne rien arranger, l'invasion de l'Ukraine par les troupes russes depuis le 24 février dernier n'a fait qu'augmenter de 800% les cyber-attaques contre les entreprises publiques et privées et les gouvernements de plusieurs pays principalement alliés de Kiev.
