La morale à géométrie variable de LockBit

Et bonne année 2023 ! La franchise mafieuse LockBit vient de s’offrir un coup de publicité en diffusant gratuitement, le 31 décembre au soir, le déchiffreur pour restaurer les fichiers chiffrés d’un hôpital canadien. Soit une façon pour le gang de cybercriminels de montrer qu’ils ne seraient pas des hackers malveillants uniquement mus par l’appât du gain, quelles qu’en soient les conséquences.

Comme le raconte The Bleeping Computer, le gang de cybercriminels s’est excusé, sur son blog, de l’attaque par rançongiciel qui avait visé en décembre l’hôpital SickKids de Toronto. « Le partenaire qui a attaqué cet hôpital n’a pas respecté nos règles, il est désormais bloqué et n’est plus l’un de nos affiliés », précisent les cybercriminels.

Attaque informatique en décembre

Ce centre pédiatrique avait déploré un important incident de cybersécurité informatique le dimanche 18 décembre. Le lendemain, l’hôpital avait signalé que l’attaque ne semblait avoir touché que « quelques systèmes internes », « ainsi que certaines lignes téléphoniques et pages web », avant de préciser, le 29 décembre, avoir achevé la restauration de près de la moitié des systèmes prioritaires.

Si elle est bienvenue – l’hôpital SickKids est en train d’évaluer le déchiffreur fourni par LockBit – l’annonce, inédite pour ce gang selon des chercheurs en sécurité, est aussi surprenante. Car le gang mafieux a visiblement une morale à géométrie variable concernant les hôpitaux. La franchise affirme en effet poser des limites à l’usage de son rançongiciel, disponible à la location à des affiliés, sous réserve du versement d’une partie des gains.

Le déploiement du rançongiciel serait ainsi prohibé pour les services de santé comme la cardiologie, la chirurgie ou encore les maternités. Mais en août dernier, le gang n’avait rien trouvé à redire avec le piratage informatique du Centre Hospitalier Sud Francilien de Corbeil-Essonnes par un affilié.

L’hôpital public de Corbeil-Essonnes considéré comme une entreprise

Faute de versement d’une rançon, LockBit avait alors diffusé à la fin septembre des données volées à l’hôpital francilien, par exemple des données administratives comme le numéro de sécurité sociale ou des comptes-rendus d’examen. Comme le rappelle Le Mag It, les négociateurs de l’hôpital avaient précisé dans un chat que l’établissement visé était un hôpital public. « Je pense que vous savez (…) que c’est impossible pour nous de payer la somme demandée », écrivait ainsi l’hôpital. « Et je ne comprends pas votre comportement, où sont passées vos valeurs ? »

Au contraire, sur le blog des cybercriminels, l’hôpital français avait alors été assimilé à une entreprise, le gang estimant avoir proposé un tarif d’extorsion « très raisonnable », preuve de leur respect pour les soins de santé.

Au-delà de LockBit, on se souvient également que des cybercriminels avaient déjà prétendu qu’ils épargneraient des structures de santé au début de la pandémie de Covid-19. Une affirmation démentie par les faits, en témoigne le nombre important de structures hospitalières touchées ces dernières années en France.