Cyberattaque contre l’Université Paris-Saclay : les serveurs emails, intranet et d’inscription touchés

Le 11 aout, l'Université Paris-Saclay a subi une cyberattaque d'ampleur importante : nombre de ses serveurs, ceux qui gèrent les emails des personnels de l'université, mais aussi l'intranet, ont été touchés. L'établissement indique aussi que la chaine d'inscription est concernée, ce qui risque de bouleverser la rentrée de certains étudiants. Une cellule de crise est en place et l'ANSSI accompagne l'université.

Le 12 aout dernier, l'Université Paris-Saclay a annoncé sur X/Twitter être victime d'une cyberattaque par rançongiciel. Elle indiquait dès ce moment être accompagnée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) « pour traiter cet incident ».

La semaine dernière était pourtant celle de l'annonce du classement de Shanghai si important aux dirigeants de cette université, au président de la République ainsi qu'à la ministre de l'Enseignement supérieur et de la Recherche démissionnaire (et ancienne présidente de l'université), Sylvie Retailleau.

Mais c'est un tout autre sujet qui préoccupe les services de l'université encore sur le pont en ce mois d'août, et notamment la DSI.

Mercredi 21 aout, la communication de Paris-Saclay a publié sur un site temporaire une FAQ piratage rassemblant certaines informations sur le sujet ainsi qu'un communiqué de presse. Une première version de ce communiqué indique que l'agence de communication qui accompagne l'Université Paris-Saclay est Influence Factory, qui a comme clients aussi bien Barilla que BFM Business.

Cyberattaque « massive »

L'université qualifie cette cyberattaque de « massive », notamment car elle toucherait « tous ses serveurs internes ». Elle affirme qu' « une fuite de données, personnelles ou non, ne peut à ce jour être confirmée ou infirmée ».

Prudente, l'université signale qu' « il n’est donc pas exclu que certaines données aient été récupérées par les pirates, sans que nous puissions en connaître l’étendue ou la nature » et explique avoir effectué une déclaration auprès la Commission nationale de l’informatique et des libertés (Cnil).

Elle détaille que « sont notamment indisponibles un certain nombre de services comme la messagerie électronique, l’intranet, les espaces partagés et certaines applications métier ». Comme pour s'excuser, elle mentionne qu' « il ne s’agit pas de la première attaque visant une université, et encore moins un service public (par exemple hôpitaux) ».

La FAQ de l'Université explique à son personnel qu'elle ne sait pas encore s'ils pourront récupérer les données stockées sur ses serveurs : « Les services de la Direction des systèmes d’information (DSI), accompagnés notamment par l’ANSSI, travaillent actuellement à l’analyse de la situation, afin de déterminer les données stockées sur les serveurs qui pourront être récupérées ou non ».

Le texte indique que le réseau Ethernet est « actuellement inutilisable depuis les services centraux afin d’éviter une éventuelle propagation du virus, le temps qu’une analyse complète soit réalisée ». Eduroam, le service international de WIFI sur les campus, semble rester la seule solution pour se connecter sur celui de Paris-Saclay.

La messagerie électronique va temporairement passer par Outlook

Concernant la messagerie électronique, des chercheuses et chercheurs ont indiqué leur désarroi sur X/Twitter. L'Institute of Plant Sciences demande à ses interlocuteurs d'utiliser les adresses emails de ses membres en @cnrs.fr, @inrae.fr, @u-paris.fr, @univ-evry.fr (les universitaires ont parfois plusieurs affiliations ou d'anciennes adresses emails) comme le propose aussi la FAQ de l'université. « Il convient de se rapprocher de votre hiérarchie pour activer ces solutions », précise-t-elle néanmoins.

Elle ajoute qu' « à défaut, des adresses email ad hoc peuvent être créées (Gmail…), de même que la création de groupes par le biais d’applications sécurisées (WhatsApp, Signal…) ».

L'université indique qu'elle « se fixe comme objectif un rétablissement des adresses email @universite-paris-saclay pour la fin du mois d’août ». Elle explique aussi avoir fait le choix temporaire « de basculer sur une messagerie électronique Outlook (Microsoft) afin de gagner du temps, le rétablissement d’une messagerie Zimbra étant beaucoup plus long ». La FAQ mentionne d'ailleurs deux adresses en @outlook.com pour répondre aux questions des étudiants.

Ce choix, compréhensible pour la rapidité qu'il permet, reste assez ironique dans un contexte où les universités françaises insistent régulièrement auprès de leurs équipes pour qu'elles n'utilisent pas les services des GAFAM pour des raisons de sécurité.

La chaine d'inscription « en cours de rétablissement »

Mais, en cette fin de mois d'août, la rentrée pointe le bout de son nez. Et les étudiants doivent pouvoir encore s'inscrire. Pour l'instant, ça n'est pas le cas.

L'université explique que sa chaine d'inscription est « en cours de rétablissement » et que des informations seront publiées sur le même site le 26 août. Elle demande aux étudiants d'attendre de recevoir des informations par email. Elle précise qu'il n'est pas utile de se déplacer sur le campus « pour l'heure ».