"Ils ont frappé à la porte, les coups de bélier ont été puissants mais ils ne sont pas rentrés", c’est l’explication bien imagée de Didier Korthoudt, le directeur général du SEGI, le service général d’informatique de l’université de Liège et du CHU. Depuis hier, à la mi-journée jusqu’à aujourd’hui 16 heures, les services informatiques ont été sur le pont, non-stop.
3 millions de connexions en quelques secondes
Le nombre de connexions vers l’université et le CHU est en général de 300.000 requêtes simultanées. Et ce lundi, à 12h57, ce nombre est passé à près de 3 millions, avec 70.000 connexions par seconde. L’attaque, car il s’agissait bien d’une attaque, visait à paralyser le réseau des deux institutions. On appelle cela une attaque en déni de service. "C’était une attaque de grande ampleur", confirme Didier Korthoudt.
IL s’agissait d’une attaque mais non pas d’un virus entré dans le système, comme ce fut le cas la semaine dernière, lors de l’attaque du groupe hospitalier Vivalia. "Ici, ce n’était effectivement pas une attaque de virus, l’objectif était de mettre à mal les serveurs du CHU et de l’université. Ce sont ces centaines de milliers de requêtes en même temps pour saturer un serveur, pour qu’il ne puisse plus effectuer son travail.
10 minutes de blocage, 24 heures d’attaque
L’attaque a été rapidement détectée. Le blocage a duré une dizaine de minutes. "Dès que nous avons pu mettre en place des mesures de protection, là, le travail interne a pu refonctionner comme par exemple les systèmes d’enseignement de l’université ou les accès aux dossiers médicaux du CHU ; Par contre, ce qui bloquait encore à ce moment-là, c’était les connexions ver internet. Les connexions ont été rouvertes progressivement, d’abord vers la Belgique. Le système a fonctionné au ralenti jusqu’à ce mardi 16 heures.
L’attaque a finalement duré plus de 24 heures. Ce mardi fin d’après-midi, la situation était revenue à la normale, sans dégâts sur les systèmes informatiques du CHU et de l’université.
Un assaillant non identifié
Qui attaque ? A qui profite le ralentissement ou l’interruption des activités d’une institution ? A ce stade, pas de réponse. "C’est vraiment difficile d’identifier les auteurs, précise le directeur du SEGI, parce que c’est une attaque intelligente ; en ce sens que chaque ordinateur qui envoyait une requête, qui "attaquait" nos serveurs, n’envoyait que très peu de requêtes. Mais il y avait énormément d’ordinateurs dans le monde qui participaient à cette attaque ; et surtout les adresses de ces ordinateurs n’étaient pas les vraies adresses. Si vous voulez, ils se faisaient passer pour d’autres. Et donc ça prendrait une énergie folle de remonter tout ça, c’est quasiment impossible.
Pourquoi ?
Que cherchent ceux qui attaquent ainsi les serveurs ? Il n’y a pas de virus, ils ne réclament pas de rançon. Mais que cherchent-ils ? Didier Korthoudt émet quelques hypothèses "La première raison, peut être la plus évidente, serait de mettre à mal l’hôpital, l’université, de les empêcher de fonctionner parce que dès que vous coupez l’informatique aujourd’hui ça bloque nombre de choses, comme le dossier médicalisé. Si vous n’avez plus accès au dossier médical des patients, ça devient plus difficile de soigner. Donc la première hypothèse, c’est d’abord de nuire au bon fonctionnement des deux institutions. Après, peut-être que derrière, ils imaginent qu’on ouvre des failles de sécurité pour essayer de faire fonctionner l'ensemble bon gré mal gré et de pouvoir éventuellement passer par ces failles. Mais ça, dans nos politiques de sécurité, c’est quelque chose qu’on ne fait pas. Le plus important pour nous est d’assure le fonctionnement des systèmes internes. Qu’on ne puisse pas consulter internet est très embêtant mais toutes les applications de gestion des institutions ont continué à fonctionner.
