Impacts de la compromission d’une machine personnelle utilisée à des fins professionnelles
Alerté par un membre de l'InterCERT France d’une fuite d’identifiants concernant un établissement de santé, le CERT Santé est intervenu rapidement pour aider l’établissement à mettre en œuvre les mesures de confinement : coupure internet et interruption des échanges avec les établissements partenaires, blocage des connexions à distance, sécurisation des sauvegardes, etc.
Les investigations réalisées par le CERT Santé, à partir des logs transmis ont permis d’identifier que deux comptes utilisateur d’accès à distance avaient été compromis suite à l'utilisation d'un équipement personnel. L’attaquant a ensuite été en mesure d’élever ses privilèges et de disposer d’un compte administrateur de domaine.
![](/sites/default/files/styles/webp/public/media/image/2023-07/Timeline%20ES%203.PNG.webp?itok=hDyZ-6Nu)
Si aucune données de santé n'a été exfiltrée au cours de l'attaque, la coupure de l’accès à internet a provoqué l’arrêt de certains services. A l’issue de la phase de neutralisation de l’attaque et après que l'établissement ait repris "le contrôle" de son SI, un plan de remédiation a été élaboré afin de renforcer l’accès à son système d’information et lever progressivement les confinements.