Impacts de la compromission d’une machine personnelle utilisée à des fins professionnelles
Alerté par un membre de l'InterCERT France d’une fuite d’identifiants concernant un établissement de santé, le CERT Santé est intervenu rapidement pour aider l’établissement à mettre en œuvre les mesures de confinement : coupure internet et interruption des échanges avec les établissements partenaires, blocage des connexions à distance, sécurisation des sauvegardes, etc.
Les investigations réalisées par le CERT Santé, à partir des logs transmis ont permis d’identifier que deux comptes utilisateur d’accès à distance avaient été compromis suite à l'utilisation d'un équipement personnel. L’attaquant a ensuite été en mesure d’élever ses privilèges et de disposer d’un compte administrateur de domaine.
Si aucune données de santé n'a été exfiltrée au cours de l'attaque, la coupure de l’accès à internet a provoqué l’arrêt de certains services. A l’issue de la phase de neutralisation de l’attaque et après que l'établissement ait repris "le contrôle" de son SI, un plan de remédiation a été élaboré afin de renforcer l’accès à son système d’information et lever progressivement les confinements.