Auteur Sujet: L'Université Paris-Saclay victime d'un ransomware le 11 Août (Lu 1029 fois)

alain_p · « **le:** 18 août 2024 à 12:03:10 »

L'Université Paris-Saclay, 12eme université dans le classement de Shangaï depuis le 15 Août, et 1ere université française, a annoncé lundi 12 Août sur son compte Twitter avoir été atteinte par un ransomware le dimanche 11 Août. L'information est minimaliste, elle indique simplement être accompagnée par l'ANSSI. L'information a été reprise par l'AFP, et divers sites, dont la Parisien et Le Monde.

https://x.com/UnivParisSaclay/status/1822993151428121078
https://www.lemonde.fr/pixels/article/2024/08/13/l-universite-paris-saclay-victime-d-une-cyberattaque-par-rancongiciel_6279550_4408996.html

L'attaque a en fait été déclenchée dans la nuit de samedi à dimanche. C'était au milieu de ses deux semaines de fermeture. Il ne restait que les personnels en astreinte.

C'est un mode opératoire bien connu. Pour divers hôpitaux touchés par un ransomware, l'attaque a aussi été déclenchée dans la nuit de samedi à dimanche, même si pour certains (hôpital de Versailles par exemple), c'était en Décembre. C'est à dire au moment où il y a le moins de monde possible pour surveiller et intervenir..

Le site web de l'Université, qui était hébergé en interne, est depuis le 15 Août redirigé vers une simple page chez OVH, sur l'IP 54.36.91.62, indiquant que le site est en maintenance, et qu'il y aurait davantage d'informations demain lundi 19 Août, jour de réouverture de l'Université, voir copie d'écran :

https://www.universite-paris-saclay.fr/

trekker92 · « **Réponse #1 le:** 18 août 2024 à 12:30:06 »

Citation de: alain_p le 18 août 2024 à 12:03:10

L'Université Paris-Saclay, 12eme université dans le classement de Shangaï depuis le 15 Août, et 1ere université française, a annoncé lundi 12 Août sur son compte Twitter avoir été atteinte par un ransomware le dimanche 11 Août. L'information est minimaliste, elle indique simplement être accompagnée par l'ANSSI. L'information a été reprise par l'AFP, et divers sites, dont la Parisien et Le Monde.

L'attaque a en fait été déclenchée dans la nuit de samedi à dimanche. C'était au milieu de ses deux semaines de fermeture. Il ne restait que les personnels en astreinte.

C'est un mode opératoire bien connu. Pour divers hôpitaux touchés par un ransomware, l'attaque a aussi été déclenchée dans la nuit de samedi à dimanche, même si pour certains (hôpital de Versailles par exemple), c'était en Décembre. C'est à dire au moment où il y a le moins de monde possible pour surveiller et intervenir..

Le site web de l'Université, qui était hébergé en interne, est depuis le 15 Août redirigé vers une simple page chez OVH, sur l'IP 54.36.91.62, indiquant que le site est en maintenance, et qu'il y aurait davantage d'informations demain lundi 19 Août, jour de réouverture de l'Université, voir copie d'écran :

https://www.universite-paris-saclay.fr/

l'info n'est ni nouvelle (elle a 5 jours):
https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/l-universite-paris-saclay-victime-d-une-attaque-par-rancongiciel_6723279.html

et c'est très très banal, il y en a au moins quelques uns, chaque semaine, d'instituts, entreprises et autres organisations touchées.
c'est comme pour marseille, la france a un abonnement, du fournisseur : lockbit.

alain_p · « **Réponse #2 le:** 18 août 2024 à 12:33:00 »

Là, on ne sait pas s'il s'agit de Lockbit. Et oui, comme je le disais, l'info date de lundi dernier en fait, mais n'avait pas été mentionnée ici, et le fait que l'Université Paris-Saclay soit la 1ere université française, et de l'UE, dans le classement de Shanghai, méritait une information ici.

Pour l'attaque du Grand Palais, et des musées parisiens, elle a été attribuée à un dérivé de Lockbit, un nouveau venu, Brain Cipher :
https://www.lemagit.fr/actualites/366602712/Grand-Palais-RMN-la-cyberattaque-est-imputee-au-groupe-Brain-Cipher

alain_p · « **Réponse #3 le:** 18 août 2024 à 12:48:48 »

Voilà d'ailleurs un site qui recense les dernières attaques dans le monde, avec les attaqueurs, et il n'y a pas que Lockbit :

https://ransomware.live/#/recent

jerome34 · « **Réponse #4 le:** 18 août 2024 à 13:09:57 »

Citation de: alain_p le 18 août 2024 à 12:33:00

Là, on ne sait pas s'il s'agit de Lockbit. Et oui, comme je le disais, l'info date de lundi dernier en fait, mais n'avait pas été mentionnée ici, et le fait que l'Université Paris-Saclay soit la 1ere université française, et de l'UE, dans le classement de Shanghai, méritait une information ici.

Classement qui rappelons-le , ne veut rien dire, et qui est une réelle farce tant les Français ont magouillé au niveau des COMUE pour rassembler les universités, même géographiquement éloignées, pour gagner des places... Artificiellement.

Quand on voit l'état lamentables de bon nombres d'universités Françaises, le manque de moyens criant, il convient franchement de rire de ce classement qui ne veut plus rien dire.

Pour le reste, oui, rien de plus banal.

alain_p · « **Réponse #5 le:** 18 août 2024 à 13:19:55 »

Je suis entièrement d'accord. L'Université Paris Sud, à Orsay, avait 27.000 étudiants en 2010, l'Université Paris-Saclay, son héritière, revendique maintenant 49.000 étudiants, soit deux fois plus. L'Univetsité Paris-Sud était 40eme au classement de Shangai en 2010.

Pour comparer, il faut voir au niveau national. Est-ce que l'on a plus de prix Nobel ou de médailles Fields depuis 10 ans que l'on regroupe les universités, je ne crois pas. Nos deux derniers prix Nobel, Anne L'Huillier et Pierre Agostini, elle a fait ses travaux en Suède, et l'autre après avoir travaillé au CEA Saclay, a émigré aux Etats-Unis. Alain Aspect, prix Nobel 2022, l'a été pour des expériences en 1982, il l'aurait eu Université Paris Saclay ou pas.

Nh3xus · « **Réponse #6 le:** 19 août 2024 à 13:57:29 »

Josianne qui a cliqué sur un mail pourri ?

alain_p · « **Réponse #7 le:** 19 août 2024 à 14:40:21 »

Personnellement, je pense qu'une personne qui clique sur un mail pourri, cela peut entrainer la propagation d'un virus sur les PCs de son réseau, voire peut-être les serveurs (windows...) auxquels elle accès, mais pas à tous les serveurs de l'université. Je suppose qu'il y a une autre faille...

trekker92 · « **Réponse #8 le:** 19 août 2024 à 14:47:30 »

Citation de: alain_p le 19 août 2024 à 14:40:21

Personnellement, je pense qu'une personne qui clique sur un mail pourri, cela peut entrainer la propagation d'un virus sur les PCs de son réseau, voire peut-être les serveurs (windows...) auxquels elle accès, mais pas à tous les serveurs de l'université. Je suppose qu'il y a une autre faille...

j'ai jamais compris ça :
normalement, un rançongiciel (ou cryptologiciel) ne peut pas agir sans avoir les permissions administrateur.

comment se fait-il...?

Myck205 · « **Réponse #9 le:** 19 août 2024 à 15:19:05 »

En piratant un compte admin.

alain_p · « **Réponse #10 le:** 19 août 2024 à 16:14:12 »

Ou par un accès quelconque permettant une élévation de privilège, passer en root par exemple. Il y a eu plein de failles de ce type même récemment (voir faille IPv6).

alain_p · « **Réponse #11 le:** 19 août 2024 à 17:18:04 »

Tiens, je viens de voir d'ailleurs qu'il y avait une nouvelle faille de sécurité avec un bulletin du CERT publié le 8 Août, concernant les téléphones IP SPA 300 et 500,dans l'interface web de gestion des téléphones, permettant l'exécution de commandes arbitraires en root (CVE CVE-2024-20450 et autres) :

Un nouveau bulletin de sécurité publié par Cisco évoque trois failles de sécurité, dont une vulnérabilité critique. Voici les références CVE associées : CVE-2024-20450, CVE-2024-20452, et CVE-2024-20454.

Ce bulletin de sécurité nous apprend qu'en exploitant ces vulnérabilités, un attaquant distant non authentifié d'exécuter des commandes arbitraires sur le système d'exploitation sous-jacent en tant que root.

https://www.it-connect.fr/des-telephones-ip-cisco-vulnerables-a-des-failles-de-securite-aout-2024/

Donc pas forcément besoin de détourner un compte administrateur.