Ce dimanche 11 août 2024, l’Université de Paris-Saclay a été victime d’une attaque par ransomware. Comme l’explique l’une des institutions d’enseignement supérieur et de recherche les plus prestigieuses de France sur X, l’université n’a pas tardé à contacter les autorités. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a pris en charge l’affaire.
Placée sous l’autorité du Premier ministre et rattachée au secrétaire général de la défense et de la sécurité nationale (SGDSN), l’Agence nationale de la sécurité des systèmes d'information (ANSSI) est l'autorité nationale en matière de cybersécurité.
— Université Paris-Saclay (@UnivParisSaclay) August 12, 2024
Il s’agit d’une tentative d’extorsion de fonds. En échange des données chiffrées lors de l’opération, les cybercriminels vont réclamer des cryptomonnaies. Pour le moment, on ignore quel gang est à l’origine de la cyberattaque. De même, le montant de la rançon n’a pas été communiqué.
Contactée par l’AFP, Paris-Saclay précise qu’une cellule de crise a été mise sur pied pour réagir à l’attaque. Trois jours après le début de la cyberattaque, le site officiel de l’Université de Paris-Saclay est toujours inaccessible. Le serveur de l’établissement ne répond pas. Les pirates bloquent visiblement toujours l’accès aux serveurs de l’université.
À lire aussi : une rançon record a été collectée par des cybercriminels en 2024
Explosion des cyberattaques en France
La cyberattaque survient moins d’une semaine après l’attaque perpétrée à l’encontre de 40 musées français, dont le Grand Palais, où se sont déroulés les épreuves olympiques d’escrime. Là encore, un ransomware est parvenu à paralyser les systèmes informatiques des établissements dans l’espoir d’obtenir une rançon. Les cybercriminels menaçaient de publier les données récupérées au cours de l’offensive. Ils s’étaient concentrés sur le système de « centralisation de données financières » utilisé par les enseignes localisées dans les musées.
Fort heureusement, les systèmes d’information impliqués dans le déroulement des Jeux olympiques ont échappé aux pirates. Le parquet de Paris a promptement ouvert une enquête pour « atteintes à un système de traitement automatisé de données », qui a été confiée à la brigade de lutte contre la cybercriminalité (BL2C) de la police judiciaire. Comme l’explique Bernard Montel, directeur technique et stratège en sécurité de Tenable, il n’est pas impossible qu’une attaque par ransomware de cet acabit ne soit qu’un écran de fumée :
« Il est toujours possible que les acteurs de la menace utilisent une attaque comme celle-ci pour détourner l’attention des équipes de sécurité. Alors que tout le monde se concentre sur ce qui semble être la principale menace, à savoir l’attaque par ransomware, les pirates informatiques pourraient en profiter pour détourner l’attention, ce qui leur permettrait de se faufiler dans une fenêtre moins visible pour cibler des systèmes critiques qui fonctionnent déjà à plein régime ».
Ces attaques s’inscrivent dans le cadre d’une recrudescence des cyberattaques contre la France. Les Jeux Olympiques de Paris ont fait de l’Hexagone l’une des cibles privilégiées des pirates, qu’il s’agisse d’hacktivistes, de cyberespions ou de cybercriminels motivés par l’appât du gain.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Ce ne sont pas “Les pirates” qui “bloquent visiblement toujours l’accès aux serveurs de l’université” comme indiqué mais bien l’université qui les as déconnectés pour permettre aux techniciens de régulariser la situation.
Exactement ! L’ANSSI (Agence nationale de la sécurité des systèmes d’information) applique des protocoles stricts lors de telles cyberattaques, semblables à ceux utilisés lors du dernier incident majeur qui avait touché l’INRAe l’année dernière.
Dans ce genre de situation, l’ANSSI recommande généralement un arrêt complet des systèmes affectés pour éviter toute propagation du malware et permettre une analyse approfondie. L’objectif est de comprendre l’origine de l’attaque, l’étendue des dommages, et les vulnérabilités exploitées, afin de rétablir les systèmes en toute sécurité et prévenir de futures intrusions.
C’est une approche prudente mais nécessaire pour limiter l’impact et s’assurer que les systèmes redémarrent sans risque d’une nouvelle compromission.