Au moins 750 hôpitaux américains ont été perturbés lors de la panne de CrowdStrike de l'année dernière, selon une étude.

Il y a un an aujourd'hui, une mise à jour buggée d'un logiciel vendu par l'entreprise de cybersécurité CrowdStrike a mis hors service des millions d'ordinateurs dans le monde entier, les plongeant dans une spirale infernale de redémarrages répétés. Le coût global de toutes ces machines endommagées équivalait à l'une des pires cyberattaques de l'histoire. Certaines estimations du montant total des dégâts à l'échelle mondiale se chiffrent en milliards de dollars.

Une nouvelle étude menée par une équipe de chercheurs en cybersécurité médicale a permis de quantifier le coût de la catastrophe de CrowdStrike, non pas en dollars, mais en dommages potentiels pour les hôpitaux et leurs patients à travers les États-Unis. Elle révèle que des centaines de services hospitaliers ont été perturbés pendant la panne, et suscite des inquiétudes quant aux conséquences potentiellement graves pour la santé et le bien-être des patients.

Des chercheurs de l'Université de Californie à San Diego ont marqué aujourd'hui le premier anniversaire de la catastrophe de CrowdStrike en publiant un article dans JAMA Network Open, une publication du Journal of the American Medical Association Network, qui tente pour la première fois de créer une estimation approximative du nombre d'hôpitaux dont les réseaux ont été touchés par cette crise informatique du 19 juillet 2024, ainsi que des services sur ces réseaux qui semblent avoir été perturbés.

En analysant les parties des réseaux hospitaliers exposées à Internet avant, pendant et après la crise, ils ont détecté qu'au moins 759 hôpitaux américains semblaient avoir subi une perturbation de réseau ce jour-là. Ils ont constaté que plus de 200 de ces hôpitaux semblaient avoir été spécifiquement touchés par des pannes affectant directement les patients, allant de l'inaccessibilité des dossiers médicaux et des scanners aux systèmes de surveillance fœtale mis hors service. Sur les 2 232 réseaux hospitaliers qu'ils ont pu analyser, les chercheurs ont détecté que 34 % d'entre eux semblaient avoir subi une perturbation.

Tout cela indique que la panne de CrowdStrike aurait pu constituer un « problème de santé publique majeur », affirme Christian Dameff, urgentiste et chercheur en cybersécurité à l'UCSD, et l'un des auteurs de l'article. « Si nous avions disposé des données de cet article il y a un an, lorsque l'incident s'est produit », ajoute-t-il, « je pense que nous aurions été beaucoup plus préoccupés par son impact réel sur le système de santé américain. »

Dans une déclaration à WIRED, CrowdStrike a vivement critiqué l'étude de l'UCSD et la décision du JAMA de la publier, qualifiant l'article de « science bidon ». Ils soulignent que les chercheurs n'ont pas vérifié que les réseaux perturbés utilisaient Windows ou CrowdStrike, et soulignent que le service cloud Azure de Microsoft a subi une panne majeure le même jour, ce qui pourrait être responsable de certaines des perturbations du réseau hospitalier. « Tirer des conclusions sur les temps d'arrêt et l'impact sur les patients sans vérifier les résultats auprès des hôpitaux mentionnés est totalement irresponsable et scientifiquement indéfendable », peut-on lire dans la déclaration.

« Bien que nous rejetions la méthodologie et les conclusions de ce rapport, nous reconnaissons l'impact de l'incident survenu il y a un an », ajoute le communiqué. « Comme nous l'avons indiqué dès le début, nous présentons nos sincères excuses à nos clients et aux personnes concernées et continuons de nous concentrer sur le renforcement de la résilience de notre plateforme et du secteur. »

En réponse aux critiques de CrowdStrike, les chercheurs de l'UCSD maintiennent leurs conclusions. La panne d'Azure constatée par CrowdStrike, précisent-ils, a débuté la nuit précédente et a principalement touché le centre des États-Unis, tandis que les pannes mesurées ont débuté vers minuit, heure de la côte Est des États-Unis, le 19 juillet – à peu près au moment où la mise à jour défectueuse de CrowdStrike a commencé à planter les ordinateurs – et ont touché l'ensemble du pays. (Microsoft n'a pas immédiatement répondu à une demande de commentaire.) « Nous n'avons connaissance d'aucune autre hypothèse susceptible d'expliquer des pannes de service simultanées et géographiquement réparties au sein des réseaux hospitaliers, comme celles observées ici », hormis la panne de CrowdStrike, écrit Stefan Savage, professeur d'informatique à l'UCSD et coauteur de l'article, dans un courriel adressé à WIRED. (Le JAMA a refusé de commenter les critiques de CrowdStrike.)

En réalité, les chercheurs décrivent leur décompte des perturbations hospitalières détectées comme une estimation minimale, et non comme une mesure du rayon d'action réel des crashs de CrowdStrike. Cela s'explique en partie par le fait qu'ils n'ont pu analyser qu'environ un tiers des plus de 6 000 hôpitaux américains, ce qui suggère que le nombre réel d'établissements médicaux touchés pourrait être bien plus élevé.

Les conclusions des chercheurs de l'UCSD sont issues d'un vaste projet d'analyse d'Internet baptisé Ransomwhere?, financé par l'Advance Research Projects Agency for Health et lancé début 2024 dans le but de détecter les pannes de rançongiciels dans les hôpitaux. Grâce à ce projet, ils analysaient déjà les hôpitaux américains à l'aide des outils d'analyse ZMap et Censys lorsque la catastrophe de CrowdStrike a frappé en juillet 2024.

Pour les 759 hôpitaux où les chercheurs ont détecté une interruption de service le 19 juillet, leurs analyses leur ont également permis d'analyser les services spécifiques apparemment en panne, en utilisant des outils publics comme Censys et le projet Lantern pour identifier les différents services médicaux, ainsi qu'en vérifiant manuellement certains services en ligne accessibles. Ils ont constaté que 202 hôpitaux ont subi des interruptions de services directement liés aux patients. Ces services comprenaient les portails du personnel permettant de consulter les dossiers médicaux des patients, les systèmes de surveillance fœtale, les outils de suivi à distance des soins aux patients, les systèmes sécurisés de transfert de documents permettant le transfert des patients vers un autre hôpital, les systèmes d'information « préhospitaliers » tels que les outils permettant de partager les résultats des examens initiaux d'une ambulance vers un service d'urgences pour les patients nécessitant des soins urgents, et les systèmes de stockage et de récupération d'images permettant de mettre les résultats des examens à la disposition des médecins et des patients.

« Si un patient était victime d’un accident vasculaire cérébral et que le radiologue avait besoin d’examiner rapidement une image de scanner, il serait beaucoup plus difficile de la faire passer du scanner au radiologue pour qu’il la lise », propose Dameff comme exemple hypothétique.

Les chercheurs ont également constaté que 212 hôpitaux subissaient des pannes de systèmes « opérationnellement pertinents », tels que les plateformes de planification du personnel, les systèmes de paiement des factures et les outils de gestion des temps d'attente des patients. Dans une autre catégorie de services « pertinents pour la recherche », l'étude a révélé que 62 hôpitaux étaient confrontés à des pannes. La plus grande partie des pannes observées dans les conclusions des chercheurs concernait une catégorie « autre », comprenant des services hors ligne que les chercheurs n'ont pas pu identifier pleinement lors de leurs analyses dans 287 hôpitaux, ce qui suggère que certains d'entre eux pourraient également être des services pertinents pour les patients non comptabilisés.

« Rien dans cet article n'indique qu'un AVC ait été mal diagnostiqué ou qu'il y ait eu un retard dans la prise en charge d'antibiotiques vitaux, par exemple. Mais c'est possible », explique Dameff. « Je pense qu'il existe de nombreuses preuves de ce type de perturbations. Il serait difficile de prétendre que les gens n'ont pas été impactés à un niveau potentiellement assez important. »

Les conclusions de l'étude donnent une nouvelle dimension aux nombreux rapports anecdotiques sur l'impact de la panne de CrowdStrike sur les établissements médicaux, déjà apparus l'année dernière. WIRED rapportait à l'époque que le réseau hospitalier Baylor, un important système de santé à but non lucratif, et Quest Diagnostics étaient tous deux incapables d'effectuer des analyses sanguines de routine. Le système hospitalier Mass General Brigham, situé dans la région de Boston, aurait dû remettre en service 45 000 de ses ordinateurs, nécessitant à chaque fois une réparation manuelle de 15 à 20 minutes.

Dans leur étude, les chercheurs ont également essayé de mesurer approximativement la durée d'indisponibilité des services hospitaliers touchés par la panne de CrowdStrike, et ont constaté que la plupart d'entre eux se sont rétablis relativement rapidement : environ 58 % des services hospitaliers étaient de nouveau en ligne dans les six heures, et seulement 8 % environ ont mis plus de 48 heures à se rétablir.

Il s'agit d'une interruption bien plus courte que les pannes dues aux cyberattaques réelles qui ont touché les hôpitaux, soulignent les chercheurs : les attaques massives de logiciels malveillants comme NotPetya et WannaCry en 2017, ainsi que l'attaque par rançongiciel Change Healthcare qui a frappé la filiale de paiement d'United Healthcare début 2024, ont toutes entraîné la fermeture de nombreux hôpitaux aux États-Unis – ou, dans le cas de WannaCry, au Royaume-Uni – pendant des jours, voire des semaines dans certains cas. Mais les effets de la débâcle de CrowdStrike méritent néanmoins d'être comparés à ceux des catastrophes numériques intentionnellement infligées aux hôpitaux, affirment les chercheurs.

« La durée des temps d’arrêt est différente, mais l’ampleur, le nombre d’hôpitaux touchés dans tout le pays, l’échelle et l’intensité potentielle de la perturbation sont similaires », explique Jeffrey Tully, pédiatre, anesthésiste et chercheur en cybersécurité, co-auteur de l’étude.

Un retard de plusieurs heures, voire de quelques minutes, peut augmenter le taux de mortalité des patients atteints d'infarctus du myocarde ou d'accident vasculaire cérébral (AVC), explique Josh Corman, chercheur en cybersécurité spécialisé en cybersécurité médicale à l'Institute for Security and Technology et ancien collaborateur de la CISA qui a examiné l'étude de l'UCSD. Cela signifie que même une interruption de courte durée des services liés aux patients dans des centaines d'hôpitaux pourrait avoir des conséquences concrètes et graves, bien que difficiles à mesurer.

Outre une première estimation des conséquences potentielles de cet incident sur la santé des patients, l'équipe de l'UCSD souligne que le véritable objectif de son étude est de démontrer qu'avec les bons outils, il est possible de surveiller ces pannes massives des réseaux médicaux et d'en tirer des enseignements. Cela pourrait permettre de mieux comprendre comment prévenir – ou, en cas d'interruptions intentionnelles dues à des cyberattaques et des rançongiciels – protéger les hôpitaux contre de telles pannes à l'avenir.