Aujourd'hui, nous plongeons dans le monde merveilleux de la cybersécurité, plus précisément dans deux attaques de ransomware dévastatrices contre la société de santé américaine Ascension.
Il y a eu beaucoup de discussions à propos de la prétendue négligence de Microsoft., Mais, comme souvent avec de telles choses, la vérité est plus profonde. Cet incident montre comment une chaîne de vulnérabilités, d'un mot de passe faible à des systèmes obsolètes, peut conduire à une catastrophe.
Contexte: Le nombre d'attaques de rançongiciels dans le monde passe sous silence, en particulier dans la cible gratifiante des États-Unis, elle a grimpé en flèche en 2024. Avec plus de 5 000 attaques signalées, une augmentation de 15 % Par rapport à 2023, la menace est plus réelle que jamais. La moitié de ces attaques étaient dirigées contre des organisations, notamment des hôpitaux, des agences gouvernementales et des entreprises privées. Le cas de l'Ascension est un exemple tragique du coût humain de cette évolution.
Que s'est-il passé? L'attaque de l'Ascension
Imaginez qu'un hôpital soit soudainement coupé du monde extérieur: Pas de dossiers médicaux électroniques, pas de rendez-vous, pas de procédures réglementées. C'est exactement ce qui s'est passé à Ascension. Uniquement avec un facteur 140!
L'attaque de 1er mai 2024 Il n'y a pas que 140 hôpitaux et Les données de 5,6 millions de patients ont été volées, mais aussi des situations mettant la vie en danger.
Le hack a commencé par une petite action, mais lourde de conséquences: Un entrepreneur externe a cliqué sur un lien malveillant dans un résultat de recherche Bing, ce qui a entraîné le téléchargement d'un fichier malveillant et l'infection de l'ordinateur portable. Cette première erreur a permis aux attaquants de se propager sur le réseau. À partir de l'ordinateur infecté, ils ont ensuite obtenu l'accès au cœur du réseau: le Windows Active Directory. Active Directory est la clé principale pour toutes les portes d'une entreprise. Si vous le cassez, vous avez presque la clé générale pour tout.
«roasting héréditaire»: Le principe de vulnérabilité
Les assaillants ont utilisé une méthode appelée Kerberoasting. On dirait un barbecue, mais c'est tout sauf ça. Ils ont bénéficié d'une vulnérabilité ancienne dans le protocole d'authentification Kerberos de Microsoft, qui repose sur une méthode de cryptage non sécurisée.
Le problème? Même si les nouvelles versions d'Active Directory sont sécurisées, elles retombent par défaut sur la méthode obsolète et plus faible lorsqu'un appareil, par exemple un ordinateur portable infecté, le demande. C'est comme installer le système d'alarme le plus récent et le plus sûr, mais la porte s'ouvre toujours avec l'ancienne clé de votre grand-père.
Qu'est-ce que Kerberos et comment fonctionne-t-il?
Pour ceux qui veulent en savoir plus: Kerberos C'est un protocole d'authentification classique des années 80. Il utilise des «billets» temporaires pour confirmer qu’un appareil ou une personne est autorisé(e). C'est plus sûr que d'envoyer des mots de passe en permanence.
Kerberoasting profite du fait que chaque utilisateur valide «Service Ticket» peut demander. Ce ticket est crypté avec le hachage de mot de passe du service demandé. Les attaquants volent ce ticket, cassent le hachage hors ligne, puis ont un accès complet au service.
La vraie cause: Mots de passe faibles et Co.
Ce qui s'est effondré dans le débat public, c'est le rôle d'Ascension elle-même. Parce que les attaques Kerberoasting ne fonctionnent que si le mot de passe haché est suffisamment faible pour être craqué!
Le Chercheurs en sécurité informatique Tim Medin, qui a inventé le terme «Kerberoasting», est certain: «Le problème qui conduit au kerberoasting est que les mots de passe sont fondamentalement mauvais.» Il estime que même un mot de passe aléatoire à 10 chiffres serait difficile à craquer. Cela suggère que le mot de passe compromis d'Ascension n'était ni accidentel ni conforme aux recommandations de Microsoft.
Un autre expert, Richard Gold, souligne d'autres problèmes de sécurité massifs:
- Absence de segmentation du réseau: Un ordinateur infecté ne doit jamais avoir un accès direct à l'ensemble du réseau.
- Absence de principe du moindre droit: Les comptes d'utilisateurs ne doivent avoir que les droits d'accès les plus nécessaires.
- Pas d'architecture de Tiering: Les systèmes importants (tels que le contrôleur de domaine) doivent être strictement séparés des systèmes moins importants.
En bref: Les attaquants ont pu passer directement de l’ordinateur portable du contractant à la «clé maîtresse» centrale du réseau. Cela ne devrait tout simplement pas se produire dans une si grande entreprise. C'est un cas classique de «Security in Depth» (ou son absence). Imaginez un bateau qui a plusieurs couches pour survivre à une fissure dans la coque. Une seule vulnérabilité ne devrait pas entraîner une défaillance totale.
Un autre problème souvent négligé: Les assaillants sont restés inaperçus pendant trois mois, de février à mai. Cela indique d'énormes lacunes dans la surveillance du réseau et la détection des intrusions.
Comme si cela ne suffisait pas: Une deuxième fuite de données
Comme si la catastrophe de mai 2024 ne suffisait pas, Ascension a de nouveau été victime d’une fuite de données dans un incident distinct. Comme le début de l'entreprise mai 2025 En décembre 2024, les données personnelles de plus de 100 000 personnes ont été volées.
Ce piratage n'avait rien à voir avec l'attaque Kerberoasting. Il a été réalisé à l'aide du logiciel d'un ancien partenaire commercial d'Ascension qui, à son tour, Piratage de ransomware Cl0p associés. En plus de SentinelOne, Les garçons de Barracuda Intensément préoccupé par le sujet. Ici, les attaquants ont exploité une vulnérabilité dans une plate-forme de transfert de fichiers pour voler des informations sensibles. Il s'agit notamment:
- Noms, adresses, numéros de téléphone et adresses e-mail
- Numéros de sécurité sociale
- Informations sur les diagnostics et les assurances
Ascension a été contrainte de fournir gratuitement des services de crédit et de protection de l'identité aux personnes concernées dans cinq États américains différents pendant deux ans. Cet incident montre une fois de plus que l'entreprise est aux prises avec des mesures de sécurité de base sur tous les canaux.
Les conséquences: Si l'ordinateur tombe en panne
Les effets du piratage ont été dévastateurs et ont affecté des vies humaines. Les médecins et le personnel infirmier ne pouvaient plus accéder aux dossiers médicaux électroniques. Les systèmes de commande de tests, de procédures et de médicaments étaient paralysés. Un infirmier sur la chaîne américaine NPR Il a raconté une expérience terrifiante: Il a failli donner la mauvaise dose d'un anesthésique à un bébé parce que les documents manuscrits étaient confus.
Cet incident montre clairement ce qui peut arriver lorsqu'un système de santé qui a travaillé entièrement numériquement pendant des années doit soudainement retourner sur le papier. De nombreuses infirmières et infirmiers, qui n'avaient jamais travaillé avec des documents papier auparavant, ont soudainement dû recourir à des formulaires vieux de plusieurs décennies qui ont été rayés des tiroirs.
Les dégâts vont bien au-delà de la perturbation immédiate:
- Augmentation du taux de mortalité: Des études estiment que le taux de mortalité dans les hôpitaux à la suite d'une cyberattaque a augmenté de 1 à 2 fois. % peut monter.
- Conséquences juridiques: Ascension fait déjà face à des plaintes.
- Pertes financières: Outre les paiements de rançon possibles et le coût de la restauration des systèmes, les cyberattaques peuvent entraîner des pertes de revenus massives et des goulets d'étranglement dans les recrutements.
Microsoft dans la critique
Le sénateur Ron Wyden a nommé la Federal Trade Commission. (FTC) a officiellement demandé à Microsoft d'enquêter sur les failles de cybersécurité. Il accuse l'entreprise de compromettre l'infrastructure critique des États-Unis en raison de son attitude négligente à l'égard de la sécurité. Wyden a publiquement critiqué le fait que le «monopole de facto de Microsoft sur le marché des systèmes d’exploitation d’entreprise» constitue une grave menace pour la sécurité nationale.
Les faits sont éclatants: Les employés de Wyden ont prévenu Microsoft 1er juillet 2024 Devant la faiblesse. Microsoft a publié en Octobre 2024 Il a publié un article de blog, mais n'a promis ni un avertissement direct aux clients, ni une mise à jour rapide du logiciel. Près d'un an plus tard, aucune mise à jour n'est encore apparue pour désactiver le cryptage obsolète par défaut.
Comment Ensar Seeker, CISO chez SOCRadar, a déclaré: «Ce qui s’est passé avec Ascension n’est pas seulement dû à un clic ou à une ancienne norme de chiffrement. Il s’agit de risques systémiques découlant des configurations standard et de la complexité architecturale d’écosystèmes logiciels largement répandus tels que celui de Microsoft.»
Que peuvent en tirer les organisations?
Le plus grand apprentissage de la débâcle de l'Ascension est l'importance de Planification de la préparation et de la réaction. Il ne suffit pas de se contenter de la sécurité informatique. Il faut s'attendre à ce qu'une attaque se produise à un moment donné.
Le plus important est d'avoir un plan clair et de le pratiquer régulièrement. L'expert Jen Anthony souligne: «Les deux principaux facteurs de réponse d’une organisation sont le leadership et la communication.»
- Pratiquer, pratiquer, pratiquer: Soi-disant Exercices de «tablette» Simuler une cyberattaque. Il identifie les vulnérabilités, améliore le temps de réponse et teste les voies de communication.
- Une communication claire: En cas de crise, il est essentiel de communiquer ouvertement et honnêtement avec les employés et les clients/patients afin de préserver la confiance.
Conclusion: Une catastrophe évitable
Les attaques contre Ascension montrent qu'il n'y a pas un seul coupable. La commodité de Microsoft à prendre en charge des normes obsolètes a contribué, mais la plus grande responsabilité incombe à Ascension elle-même.
L’absence de normes de sécurité, allant des mots de passe forts à la segmentation du réseau en passant par les principes de la confiance zéro, a été la véritable raison du succès de l’attaque de mai 2024. Une seule vulnérabilité n'aurait pas dû conduire à l'effondrement d'un réseau aussi vaste. Le deuxième incident montre qu'il s'agit d'un problème systématique qui va bien au-delà d'un seul vecteur d'attaque.
En particulier parce que les attaquants trouveront toujours de nouvelles voies, il incombe aux entreprises de mettre en œuvre des mesures de sécurité de base et de les maintenir en permanence. L'histoire d'Ascension est un appel au réveil pour tous ceux qui pensent que la cybersécurité n'est qu'un problème pour le service informatique.
Ressources supplémentaires sur le thème:
- Principe du Zero Trust: Qu'y a-t-il derrière ce modèle de sécurité?
- Sécurité du mot de passe: Comment créer des mots de passe vraiment forts?
- Bonnes pratiques Active Directory: Un guide pour les administrateurs pour sécuriser Active Directory.
FR 
DE 
EN 
ES 
IT