Cyberattaque contre l’Université Paris-Saclay : les serveurs emails, intranet et d’inscription touchés

Retour au tableau noir ?

Le 11 aout, l'Université Paris-Saclay a subi une cyberattaque d'ampleur importante : nombre de ses serveurs, ceux qui gèrent les emails des personnels de l'université, mais aussi l'intranet, ont été touchés. L'établissement indique aussi que la chaine d'inscription est concernée, ce qui risque de bouleverser la rentrée de certains étudiants. Une cellule de crise est en place et l'ANSSI accompagne l'université.

Martin Clavey

Le 22 août à 17h10

5 min

Société numérique

Société

Le 12 aout dernier, l'Université Paris-Saclay a annoncé sur X/Twitter être victime d'une cyberattaque par rançongiciel. Elle indiquait dès ce moment être accompagnée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) « pour traiter cet incident ».

La semaine dernière était pourtant celle de l'annonce du classement de Shanghai si important aux dirigeants de cette université, au président de la République ainsi qu'à la ministre de l'Enseignement supérieur et de la Recherche démissionnaire (et ancienne présidente de l'université), Sylvie Retailleau.

Mais c'est un tout autre sujet qui préoccupe les services de l'université encore sur le pont en ce mois d'août, et notamment la DSI.

Mercredi 21 aout, la communication de Paris-Saclay a publié sur un site temporaire une FAQ piratage rassemblant certaines informations sur le sujet ainsi qu'un communiqué de presse. Une première version de ce communiqué indique que l'agence de communication qui accompagne l'Université Paris-Saclay est Influence Factory, qui a comme clients aussi bien Barilla que BFM Business.

Cyberattaque « massive »

L'université qualifie cette cyberattaque de « massive », notamment car elle toucherait « tous ses serveurs internes ». Elle affirme qu' « une fuite de données, personnelles ou non, ne peut à ce jour être confirmée ou infirmée ».

Prudente, l'université signale qu' « il n’est donc pas exclu que certaines données aient été récupérées par les pirates, sans que nous puissions en connaître l’étendue ou la nature » et explique avoir effectué une déclaration auprès la Commission nationale de l’informatique et des libertés (Cnil).

Elle détaille que « sont notamment indisponibles un certain nombre de services comme la messagerie électronique, l’intranet, les espaces partagés et certaines applications métier ». Comme pour s'excuser, elle mentionne qu' « il ne s’agit pas de la première attaque visant une université, et encore moins un service public (par exemple hôpitaux) ».

La FAQ de l'Université explique à son personnel qu'elle ne sait pas encore s'ils pourront récupérer les données stockées sur ses serveurs : « Les services de la Direction des systèmes d’information (DSI), accompagnés notamment par l’ANSSI, travaillent actuellement à l’analyse de la situation, afin de déterminer les données stockées sur les serveurs qui pourront être récupérées ou non ».

Le texte indique que le réseau Ethernet est « actuellement inutilisable depuis les services centraux afin d’éviter une éventuelle propagation du virus, le temps qu’une analyse complète soit réalisée ». Eduroam, le service international de WIFI sur les campus, semble rester la seule solution pour se connecter sur celui de Paris-Saclay.

La messagerie électronique va temporairement passer par Outlook

Concernant la messagerie électronique, des chercheuses et chercheurs ont indiqué leur désarroi sur X/Twitter. L'Institute of Plant Sciences demande à ses interlocuteurs d'utiliser les adresses emails de ses membres en @cnrs.fr, @inrae.fr, @u-paris.fr, @univ-evry.fr (les universitaires ont parfois plusieurs affiliations ou d'anciennes adresses emails) comme le propose aussi la FAQ de l'université. « Il convient de se rapprocher de votre hiérarchie pour activer ces solutions », précise-t-elle néanmoins.

Elle ajoute qu' « à défaut, des adresses email ad hoc peuvent être créées (Gmail…), de même que la création de groupes par le biais d’applications sécurisées (WhatsApp, Signal…) ».

L'université indique qu'elle « se fixe comme objectif un rétablissement des adresses email @universite-paris-saclay pour la fin du mois d’août ». Elle explique aussi avoir fait le choix temporaire « de basculer sur une messagerie électronique Outlook (Microsoft) afin de gagner du temps, le rétablissement d’une messagerie Zimbra étant beaucoup plus long ». La FAQ mentionne d'ailleurs deux adresses en @outlook.com pour répondre aux questions des étudiants.

Ce choix, compréhensible pour la rapidité qu'il permet, reste assez ironique dans un contexte où les universités françaises insistent régulièrement auprès de leurs équipes pour qu'elles n'utilisent pas les services des GAFAM pour des raisons de sécurité.

La chaine d'inscription « en cours de rétablissement »

Mais, en cette fin de mois d'août, la rentrée pointe le bout de son nez. Et les étudiants doivent pouvoir encore s'inscrire. Pour l'instant, ça n'est pas le cas.

L'université explique que sa chaine d'inscription est « en cours de rétablissement » et que des informations seront publiées sur le même site le 26 août. Elle demande aux étudiants d'attendre de recevoir des informations par email. Elle précise qu'il n'est pas utile de se déplacer sur le campus « pour l'heure ».

Commentaires (19)

fred42 Abonné

Le 22/08/2024 à 17h37

qui a comme clients aussi bien Barilla que BFM Business.

Mais qu'est-ce que ça vient faire ici ?
Et pourquoi avoir choisi ces 2 clients plutôt que le CNRS, le groupe La Caisse des Dépôts, le groupe La Poste, etc ?
Que l'on s'appuie en période de crise comme celle-ci sur une agence de communication est maintenant la norme. Et le partenariat date probablement d'avant la crise puisqu'ils sont eux-aussi sur la page des clients.

J'aurais préféré le constat qu'ils ont un problème de sauvegarde puisqu'ils ne sont pas capables de garantir que les données des serveurs puissent être récupérées. Pour un site comme Next et ses lecteurs, ça a bien plus d'intérêt qu'une marque de pâtes !

Martin Clavey Équipe

Modifié le 22/08/2024 à 17h41

Justement, ça permet de dire que l'université Paris-Saclay est entrée dans cette norme .

Quant au constat, sans aucune information sur l'infrastructure, ce n'est qu'une supposition.

Edit: jusqu'à récemment, les universités françaises utilisaient soit des services de communication internes, soit des petites entreprises de communication.

tipaul Abonné

Le 22/08/2024 à 19h58

Je suis ptet parano, mais je trouve que le choix des clients cités est lourd de sous-entendu. BFM a une réputation pourrie en termes d'honnêteté intellectuelle (particulièrement ici), et Barilla, ce sont des fabricants de pâtes. Pas vraiment aussi "noble" qu'une université, pas de la haute technologie ou un truc "classe". Et dans les deux cas, des structures à but lucratif, dont on peut soupçonner que la communication va être biaisée par l'objectif du moindre dommage financier.
Il eut été préférable de choisir des structures publiques, et il y en a (fondation Charles de Gaulle, GPSEO, RATP, et quelques autres)

xyloforce Abonné

Le 22/08/2024 à 19h51

Personnellement, je suis choqué que psu et le cnrs payent une boîte de com alors qu'ils ont aussi des services com et pas une thune pour tellement d'autres choses. Donc cette info m'intéresse, comme le fait qu'ils fassent aussi de la com pour Barilla et donc qu'ils soient une grosse boîte probablement pas donnée

tipaul Abonné

Le 22/08/2024 à 20h03

oh que non ! la communication de crise, c'est un métier bien particulier. Je préfère qu'ils prennent un spécialiste dans le domaine plutôt qu'improviser. Le risque réputationnel est trop gros !
(je ne sais pas si cette agence-là est spécialisée dans le domaine, ça n'apparaît pas clairement sur leur site. J'interviens sur le principe d'une agence de communication de crise externe, pas sur cette agence spécifique)
C'est pareil pour le piratage en lui-même : j'espère qu'ils ont fait appel à un spécialiste pour les aider. Et idéalement, ils auraient dû faire appel à un tel spécialiste avant que le problème ne se produise.

Dj Abonné

Le 23/08/2024 à 00h21

oh que non ! la communication de crise, c'est un métier bien particulier. Je préfère qu'ils prennent un spécialiste dans le domaine plutôt qu'improviser. Le risque réputationnel est trop gros !

Oui comme prendre le temps de mettre sur un site provisoire une actualité a propos du classement de Shanghai. C'est pour gérer la réputation de l'unif

tipaul Abonné

Le 23/08/2024 à 08h55

J'ai bien précisé que je parlais du principe d'une agence externe, pas du choix de cette agence-là

Pour le coup, je suis bien d'accord : l'actu Shanghai est complètement à côté de la plaque.

Dj Abonné

Le 23/08/2024 à 11h40

En y repensant après, c'est juste un regroupement d'unif pour doper artificiellement ce classement.
Donc ça doit être logique pour eux

tipaul Abonné

Le 26/08/2024 à 09h45

oui et non (sur le regroupement d'univ). De nombreuses universités se regroupent pour avoir de plus gros budgets et pouvoir "mieux" investir sur les domaines de recherche. L'idée, c'est que 10 petits avec 1X€ n'ont pas la même capacité de recherche qu'un gros avec 10X€

(parfois même, ça foire : https://www.rennes-information.fr/rennes-fusion-universites/ [article sans date]
mais finalement non, ça ne foire plus https://etudiant.univ-rennes.fr/creation-officielle-de-luniversite-de-rennes
on a trouvé un accord pour que Rennes2 se joigne sans s'y joindre mais si, quand même. Beau mic-mac en perspective...
]

rinac9

Le 23/08/2024 à 02h09

La DSI de saclay est mauvaise depuis des années. Elle est malheureusement gangrené depuis l’intérieur, rendant les réseaux lents, la sécurité mauvaise, ce n’est malheureusement pas étonnant. Et en même temps il y a peu de dsi qui doivent gerer un parc aussi complexe. Des centaines de milliers de pc, avec des vlan separes, des etudiants, des administrateurs, des super calculateurs sur des centaines de batiments…

Quant au choix du gafa, si c’est pour confier des trucs importants à trois guss dans leurs garages…

tipaul Abonné

Le 23/08/2024 à 09h01

"gangrénée de l'intérieur" => tu peux préciser ce que tu entends par là ?
Note qui n'est pas une excuse mais qui peut apporter un éclairage : Saclay a été créée en 2019, c'est le regroupement de plusieurs institutions. Pas facile à faire bouger, aucun doute là-dessus. Il faut une DSI avec un sens de la diplomatie et/ou la négociation exceptionnel, ou une DSI qui fonce, sans se préoccuper des tomates et des peaux de bananes jetées sur le chemin.

plopl Abonné

Le 23/08/2024 à 21h48

Elle est surtout (comme tous les services de l'Université), en gros manque de moyens humains.

Erwan123 Abonné

Modifié le 23/08/2024 à 11h25

Tiré du site d' Influence Factory:

"Qui sommes-nous ?
influence factory est une agence de communication composée d’un pôle événements institutionnels, d’un pôle digital et d’un pôle influence."

pôle digital ? pôle numérique plutôt... Ça fait baisser d'un coup l'indice de confiance dans cette boîte...

Ça c'est comme pour les "messageries cryptées" et les "wagons pour les trains de voyageurs..."
.

Timanu69

Le 24/08/2024 à 09h27

Pénètration digitale
Autre cas de pénétration digitale

Erwan123 Abonné

Modifié le 24/08/2024 à 12h16

C’est juste carrément ENORME !!

Ce lien-là, il est déjà dans mes bookmarks, et en tête de liste en plus !

Merci, "ça m’a fait mon weekend ! "

1.1.1.1 Abonné

Le 23/08/2024 à 12h48

Les PC tournent sur Windows, la suite bureautique est Office, pourquoi ne pas aller jusqu'au bout en utilisant Outlook qui est infiniment plus moderne et sécurisé, avec un anti-spam redoutable ?

drozdi Abonné

Le 26/08/2024 à 09h12

Parce que les DSI des institutions publiques sont censées prioriser les serveurs en France, ou UE. Et en cherchant bien, c'est possible pour la quasi-majorité des services dont une Université a besoin. En tout cas, au moins pour protéger les données personnelles ou de travail des chercheurs (qui ouvriront eux-mêmes une boite chez Gmail en ne voyant pas le mal ;) )

Tatimin

Le 26/08/2024 à 07h24

Les universitaires travaillent beaucoup avec des MAC. Une grosse faille de sécurité du processeur Silicon apple (https://gofetch.fail/). peut elle la cause de cette attaque?

poddestroy Abonné

Le 26/08/2024 à 17h00

Un coup d'Aberkhane pour valider sa thèse