Les cyberattaques font une nouvelle victime en France dans le secteur de la santé. Selon Le Parisien, les pirates informatiques du rançongiciel Babuk auraient volé et publié une partie des données de la biotech française Yposkesi vendredi 26 mars. Depuis le début de l’année 2021, le gouvernement déplore une guérilla numérique qui prend pour cible les hôpitaux français.
Généthon pas impacté
Yposkesi n’a pas encore communiqué publiquement sur le sujet. Contactée par L’Usine Nouvelle, l’entreprise n’était pas joignable pour confirmer ces informations. D’après Le Parisien, les hackers auraient mis main basse sur 23 Go de données informatiques. L’attaque aurait fait l’objet d’une revendication sur un site du dark web et plusieurs documents sensibles auraient déjà été publiés, notamment des contrats conclus avec des laboratoires pharmaceutiques.
Spécialiste des médicaments de thérapie génique, Yposkesi a été créé en 2016 à l’initiative de l’AFM-Téléthon et du fonds public SPI de Bpifrance. Basée à Corbeil-Essonnes (Essonne), la jeune entreprise avait également annoncé en janvier la construction d’une deuxième unité industrielle à Evry (Essonne). En 2016, Yposkesi avait repris les actifs de Généthon Bioprod. Malgré ces liens, le laboratoire Généthon n’a pas subi d’intrusion dans ses systèmes. «Il n’y a aucun impact pour le laboratoire Généthon qui est une structure et infrastructure différente et indépendante d’Yposkesi», commente un porte-parole de la structure à L’Usine Nouvelle.
Ce que l’on sait de Babuk
Avant même l’attaque contre Yposkesi, l’éditeur de logiciel anti-virus McAfee avait les pirates de Babuk dans ses radars. Selon un rapport publié en février, le groupe compte au moins cinq grandes entreprises dans ses victimes. L’une d’entre elles a été forcée de payer 85 000 dollars aux hackers (environ 72 110 euros). Le rançongiciel s’est attaqué à des secteurs variés selon les analyses de McAfee : transports, santé, plasturgie, électronique, agriculture… « Nous avons découvert leurs premières attaques en janvier. Le mode opératoire utilisé ressemble sensiblement aux autres groupes de ransomware. Pour compromettre les cibles, ils vont utiliser des vecteurs d’infection comme des serveurs accessibles depuis internet ou tout simplement des mots de passe compromis. Ils communiquent sur les forums un peu underground où ils font pas mal de “publicité”. À la suite de notre rapport, ils ont publié assez rapidement le fait qu’ils avaient mis à jour leur algorithme», observe Thomas Roccia, chercheur en sécurité chez McAfee.
La nationalité des cybercriminels reste inconnue. Le rapport de McAfee signale toutefois des communications réalisées sur des forums anglophones et russophones. La recherche du buzz dans leur mode de communication pourrait également trahir le jeune âge des hackers.
« On conseille toujours de ne pas payer la rançon »
En parallèle, les hôpitaux français souffrent d’une série noire de cyberattaques. «Depuis le début de l’année 2021, un établissement de santé est victime chaque semaine d’une cyberattaque», révélait le ministre de la Santé Olivier Véran le 22 février. «La plupart du temps, les attaques de ransomware restent opportunistes. Cela n’est pas forcément ciblé sur un secteur en particulier. Dans l’écosystème de la cybercriminalité, ils ont pu avoir obtenir à des accès compromis par l’intermédiaire d’une plateforme sur le marché noir», analyse Thomas Roccia.
«On conseille toujours de ne pas payer la rançon, parce que cela alimente le marché noir et la cybercriminalité, suggère le chercheur en cybersécurité. Mais on se rend compte qu’il y a des entreprises qui ne peuvent pas redémarrer sans payer la rançon. Dans le cas d’Yposkesi, les données ont déjà fuité. Cela veut dire que potentiellement, ils ont décidé de ne pas payer la rançon.»
Pour le chercheur, l’un des meilleurs remèdes contre les ransomwares reste la sauvegarde de données (ou back-up). Une solution qui s’avère également utile en cas de compromission d’un centre de données comme l’a prouvé l’incendie chez OVHcloud. «Parfois, on se rend compte que les serveurs de sauvegarde sont aussi stockés sur le réseau. Et donc les attaquants vont cibler aussi ces serveurs là. La bonne pratique consiste aussi à les conserver hors ligne», ajoute Thomas Roccia.
