Pour FireEye, la Chine finance une razzia sur les données de santé US

Le spectre du hacker chinois ressurgit outre-Atlantique. Suite au piratage du groupe hospitalier CHS, la société FireEye estime que la Chine pourrait avoir sponsorisé cette attaque pour récupérer des informations sur le traitement du cancer.

Le vol des données personnelles de 4,5 millions de patients sur les serveurs du groupe hospitalier américain Community Health Systems (CHS), le plus important à ce jour touchant le domaine de la santé outre-Atlantique, a-t-il été orchestré par un groupe de hackers relié au gouvernement chinois ? C’est en tout cas l’hypothèse que soulève FireEye, une société américaine spécialisée dans la sécurité dont la filiale Mandiant enquête sur les mécanismes et les origines de l’attaque, à la demande du CHS.

Rendue publique le 18 août, la cyberattaque contre le groupe privé gérant 206 établissements dans 29 états américains émane d’un groupe de hackers baptisé APT 18 (pour Advanced Persistent Threat 18), explique Mandiant. Selon VentureBeat, si CHS affirme qu’aucune donnée clinique n’a été dérobée – le vol concernant des numéros de sécurité social, des numéros de téléphone et d’autres données démographiques -, FireEye-Mandiant se montre moins affirmatif, expliquant que l’enquête, démarrée en juin dernier, est encore en cours.

Le faisceau de présomptions de FireEye

Et FireEye n’écarte pas une implication directe du gouvernement chinois dans le vol des données. Sans affirmer que APT 18 est lié aux autorités de l’Empire du Milieu, la société US, prompte à voir des hackers chinois partout, estime que ces dernières auraient plusieurs motivations claires pour cibler l’industrie de la santé US. A commencer par la volonté d’accéder à des données médicales sur le traitement des cancers. Dans un billet de blog, un chercheur de FireEye, Jen Weedon, remarque que, selon un article du Guardian, le cancer est devenu la première cause de décès en Chine, avec un taux ayant progressé de 80 % en 30 ans.

Au cours d’une même semaine en fin d’année dernière, FireEye affirme que trois entreprises travaillant sur le traitement des cancers ont été la cible d’un même groupe de hackers basé en Chine. L’intérêt pour les hôpitaux pourrait, lui, s’expliquer par le fait que les traitements innovants contre le cancer y sont souvent testés. FireEye relève également le cas d’une entreprise du secteur de la pharmacie qui l’a sollicité après que des hackers ont compromis plus de 100 systèmes et installé des backdoor leur donnant un accès permanent au réseau de cette organisation. Des informations relevant de la propriété intellectuelle de cette entreprise ont été dérobées. Ce type de données présente potentiellement une grande valeur pour l’industrie pharmaceutique chinoise, un moyen d’accélérer sa recherche sur le traitement du cancer à moindre frais.

Des données monnayables au marché noir

Selon VentureBeat qui cite une source non identifiée, APT 18 a bien exploité la faille Heartbleed affectant la librairie OpenSSL pour cibler un serveur VPN de CHS. Si cette confirmation soulève au passage des questions sur la rapidité d’intervention du groupe hospitalier (Heartbleed ayant été découverte en avril et patchée dans la foulée), les experts en sécurité pensent logiquement que la faille n’est qu’un des mécanismes de l’attaque. Difficile en effet d’imaginer la récupération de données de 4,5 millions de patients à partir d’un bogue d’allocation de mémoire permettant de récupérer 64 000 octets de mémoire à la fois.

Si l’hypothèse d’une vague d’attaques contre les entreprises pharmaceutiques sponsorisée par la Chine fait sens sur le papier, elle n’est guère étayée par des preuves à ce stade. Et ce n’est pas la seule hypothèse crédible. Loin s’en faut. Le piratage de CHS peut très bien être l’œuvre de cybercriminels, guidés par des motivations purement mercantiles. En effet, les données de patients pris en charge outre-Atlantique ont une valeur marchande sur le marché noir. Un dossier médical peut y être vendu entre 50 et 250 dollars, soit bien plus que le montant habituellement demandé pour un numéro de carte bancaire, un nom d’utilisateur ou un mot de passe. Cette année, près de 150 incidents relatifs à la perte ou au vol de données ont déjà été rapportés par des établissements hospitaliers américains au Département de la santé et des services sociaux US.

Lire aussi

Sécurité : piratés, les magasins Target font face à une kyrielle de procès

Dave Merkel, FireEye : « Contre les menaces persistantes, il faut des technologies mais aussi des hommes »