« If you meet or call colleagues from University Paris-Saclay, do not hesitate to communicate them this information as their email system is still down after this summer cyber attack. » Voici ce que vous avez pu lire ces derniers jours via vos listes de diffusion – comme celle du groupement de recherche Technologies quantiques à l’origine de ce message. Durant près de trois semaines, vos collègues de Paris-Saclay sont en effet restés coupés du reste du monde – l’occasion de se concentrer sur leurs recherches ? –, sans accès à leur email professionnel ni aux outils numériques de l’établissement. Tout cela en raison d’un piratage informatique d’une ampleur inégalée dans le petit monde de la recherche : « Nos services informatiques, accompagnés par l’ANSSI [agence nationale de la sécurité des systèmes d’information, NDLR], travaillent depuis le 11 août d’arrache-pied à dresser un état des lieux précis et détaillé ; ce travail minutieux est toujours en cours », explique Camille Galap, président de l’Université Paris-Saclay.
« Aucun contact n’a été pris avec les pirates et aucun paiement de rançon n’est envisagé »
Camille Galap, président de l’Université Paris-Saclay
Chassé-croisé. Dimanche 11 août 2024, les messages fusent sur Whatsapp entre les membres des services centraux de l’université : l’établissement est victime d’une cyberattaque. Il s’agit plus précisément d’un rançongiciel, un logiciel malveillant qui prend en otage des données personnelles, chiffrant leur accès et demandant en retour une somme d’argent. Un phénomène en recrudescence, avec plus de 500 plaintes au Parquet de Paris en 2023 selon le site d’information ZDNET, et un montant moyen de 200 000 dollars aux États-Unis pour ce type d’extorsion. Afin de limiter la propagation du virus, le service informatique de la plus grosse université française a donc coupé le jour même l’accès à tous les serveurs et donc à tous les services : site internet, messagerie électronique, annuaire, espace de stockage, logiciels de gestion financière, bibliothèque numérique…
Pare-feux. L’université Paris-Saclay communique dès le lendemain, lundi 12 août, via le réseau social X. En commentaires, on peut lire des étudiants inquiets pour leur inscription : la rentrée est dans moins d’un mois. Une cellule de crise se monte avec le ministère de l’Enseignement supérieur et de la Recherche ainsi que l’Anssi. Cette dernière doit les aider à identifier les failles et les réponses techniques à apporter. Dix jours après l’alerte, alors que l’accès aux services n’est pas revenu, un communiqué officiel – co-rédigé par l’agence Influence Factory qui accompagne l’université depuis plusieurs années – annonce la mise en place d’un site provisoire avec une FAQ et l’ouverture des inscriptions dès le 26 août. Les priorités : sécuriser le système informatique et rétablir progressivement les services tels que l’authentification et la messagerie électronique.
« On critique souvent la complexité de l’ESR français, elle nous a sauvés ! »
Hervé Dole
Système D. En attendant, la question se pose pour les chercheurs, doctorants, et tous les autres personnels de l’université : comment communiquer ? Beaucoup ont réappris à décrocher leur téléphone, d’autres échangent par Whatsapp ou Discord. Certains adressent des messages à leurs collègues via les réseaux sociaux, comme Franck Courchamp qui demande d’utiliser son adresse @cnrs et de renvoyer tout email envoyé après le 10 août. Pour celles et ceux qui n’ont pas de messagerie via une autre tutelle, l’Université recommande la création d’adresses email ad hoc du type prenom.nom.labo@gmail.com. De leur côté, les labos créent des adresses génériques. De quoi garder le contact avec ses collaborateurs, mais pas d’échanger des informations sensibles ou officielles. Pour une enseignante-chercheuse qui organise une conférence en octobre, c’est le dilemme : doit-elle envoyer le message de rappel aux 300 participants depuis une adresse gmail ?
Plan UMR. Inquiétude également pour les départs en mission, qui ont finalement pu être maintenus en basculant leur gestion sur les outils des autres tutelles (CNRS, Inserm…) – la grande majorité des labos de Paris-Saclay étant des unités mixtes de recherche (UMR). C’est ce que nous explique Hervé Dole, vice-président art, culture, science et société de Paris-Saclay, qui analyse au passage : « On critique souvent la complexité de l’ESR français, elle nous a sauvés ! » À l’heure actuelle, aucun des outils de gestion financière ni de ressources humaines ne fonctionne. Dans les services centraux, certains sont au chômage technique depuis plusieurs semaines mais l’université se veut rassurante : ni congés forcés ni retraits de salaires ne seront effectués. Paris-Saclay versera bien les payes de septembre en reconduisant les montants d’août pour les anciens et fera du sur-mesure pour les nouveaux employés. On imagine que plus d’un (et surtout une, relire notre article sur les essentielles de l’administration) va s’arracher les cheveux pour régulariser tout cela après coup…
« Les laboratoires de recherche devraient ainsi être moins impactés que d’autres entités de l’université »
Camille Galap
Bloc-notes. Pour la rentrée étudiante, on reprend le papier et le crayon, notamment pour le planning des cours et des salles. Pareil pour les salles blanches ou autres plateformes mutualisées : retour à l’organisation papier. « J’avais peur de revenir dans une ambiance de plomb, mais les collègues l’ont pris avec beaucoup de hauteur », confie Hervé Dole. Encore détendus grâce aux congés d’été ? Il faut dire que la recherche a finalement été peu impactée : « Les pertes brutes seront certainement marginales ». En effet, l’attaque a ciblé les services centraux de l’université, alors que les communautés de recherche s’étaient organisées par ailleurs pour le stockage sécurisé de leurs données, explique l’astrophysicien, avec « trois énormes serveurs à trois endroits différents ». Un constat confirmé par le président de Paris-Saclay : « D’une façon générale, les données de recherche étaient sécurisées selon des protocoles bien établis impliquant de ne pas les stocker sur des serveurs non dédiés et de ne pas échanger de données sensibles par mail. Les laboratoires de recherche devraient ainsi être moins impactés que d’autres entités de l’université. »
Erreur 404. Heureusement pour les doctorants, la solution ADUM utilisée pour la gestion administrative des écoles doctorales, externe, n’a pas été touchée. Concernant les fichiers déposés sur les services communs de stockage qui permettent le partage entre labos, rien n’assure que les utilisateurs pourront les retrouver. Pareil pour l’historique de messagerie. Seules celles et ceux qui ont effectué des sauvegardes ou utilisaient un client de messagerie sur leur ordinateur (comme Thunderbird pour n’en citer qu’un) peuvent se targuer d’avoir accès à leurs anciens emails. Les boîtes mail @université-paris-saclay.fr sont à nouveau disponibles depuis vendredi 30 août au soir, mais sans historique et via Outlook et non Zimbra, la solution libre utilisée auparavant – trop longue à rétablir, selon Paris-Saclay. Tant qu’elle n’a pas été activée, la boîte mail ne reçoit pas les messages et les utilisateurs doivent apprivoiser une nouvelle interface, la configurer*… Bref, du travail en plus dont ils se seraient bien passé.
« L’Université Paris-Saclay avait bien pris la mesure du risque cyber avant cette attaque informatique »
Camille Galap
Symbole. Qui est à l’origine de tout ça ? L’Université affirme ne pas connaître ni l’identité ni les revendications des rançonneurs, ni le montant de la rançon : « Conformément aux directives de l’État et aux principes de l’université, aucun contact n’a été pris avec les pirates et aucun paiement de rançon n’est envisagé », répond Camille Galap. L’attaque n’est cependant pas survenue à un moment comme les autres : en plein JO (Paris-Saclay accueille le labo anti-dopage français), en pleine transition pour l’équipe de direction (Camille Galap a été élu en juin à la suite d’une petite crise politique que nous vous racontions) et quelques jours avant… la sortie du classement de Shanghai ! Annoncé chaque année le 15 août, il reste particulièrement scruté par les dirigeants de l’ESR français (on vous en parlait). Son édition 2024 plaçait pourtant la première université de France en 12ème position. La cyberattaque a bien éclipsé la nouvelle : « Pour une fois qu’on parle en bien des universités… », se désole un personnel des services centraux.
Ampleur inédite. L’Université Paris-Saclay n’est pas la première à subir une cyberattaque. Il y a un peu plus d’un an, en juin 2023, un autre gros paquebot de l’ESR français, l’Université Aix-Marseille, était attaqué. Plus de site internet ni de réseau sur le campus, le service informatique avait également tout stoppé. Une attaque d’une envergure bien plus limitée : tout ou presque était revenu à la normale 24 heures plus tard. « Aujourd’hui nous sommes tous dépendants de l’informatique qui est une cible potentielle pour les pirates (…) L’Université Paris-Saclay avait bien pris la mesure du risque cyber avant cette attaque informatique », affirme son président. Car la question est dans tous les esprits : le service informatique était-il en bonne santé ? L’article du Monde du 31 août mentionne des budgets insuffisants ainsi qu’un rapport d’expertise de 2021 faisant état de 25% de postes non pourvus et de conditions de travail difficiles.
« Prenez garde, ça peut arriver n’importe où ! »
Hervé Dole
Attractivité. « Depuis 2022, des efforts considérables ont été faits par les présidences successives : augmentation du budget de fonctionnement de la DSI de 40%, et priorité donnée aux recrutements, avec bien sûr les difficultés que l’on connaît dans la sphère publique auxquelles s’ajoutent le turn-over important dans le domaine des SI [systèmes d’information, NDLR] », répond Camille Galap, précisant que Paris-Saclay réalise actuellement « plus de recrutements qu’il n’y a de départs ». La faute aux utilisateurs, plutôt ? Certains se font piéger, comme le montre l’affaire toute récente des virus dérobeurs de mot de passe à Sorbonne Université. Après avoir découvert dans leurs boîtes de nombreux emails frauduleux non stoppés par le filtrage de leur messagerie, les journalistes de 20 minutes ont réalisé que ceux-ci étaient envoyés via l’adresse officielle d’étudiants. Au courant, l’université avait alerté ses ouailles mais Mélissa, interrogée par 20 minutes, avait cliqué sur un lien sur lequel elle n’aurait pas dû…
Redémarrage. Les priorités à l’heure où nous écrivons ces lignes, ce jeudi 5 septembre ? « Nous travaillons sur un calendrier de remise en route des applications et de récupération des données stockées sur les espaces partagés de l’université », répond Camille Galap. Même s’il est encore trop tôt pour chiffrer les dégâts, « le Ministère qui nous accompagne depuis le début s’est engagé à nous aider y compris financièrement pour sortir de cette crise ». Pour Hervé Dole, cette mésaventure est aussi l’occasion de questionner les pratiques – vos données et documents importants sont-ils sauvegardées à plusieurs endroits sécurisés ? – et d’alerter les collègues d’autres établissements : « Prenez garde, ça peut arriver n’importe où ! »
Vis ma vie de DSI
Comment le service informatique répond-il à l’attaque ? Difficile d’obtenir leur réaction à chaud, mais certains acceptent de parler après coup. C’est le cas de Brigitte Sor, directrice des systèmes d’information (DSI) à l’Institut Polytechnique de Toulouse. Cible d’une attaque en septembre 2022, elle témoignait de la réponse que son service a apportée huit mois plus tard aux Assises du Comité des services informatiques de l’enseignement supérieur et la recherche (Csiesr) et Campus matin en a gardé trace. Après la course-poursuite pour isoler et déconnecter tous les sites d’internet afin de bloquer l’attaque, Brigitte Sor évoque la recherche de preuve (comme sur une scène de crime, il ne faut toucher à rien) durant plus d’une semaine. Pour finalement retrouver le patient zéro : le pirate était entré huit jours avant que l’alerte ne retentisse « via un compte étudiant sur une plateforme de virtualisation gérée en local ». L’informaticienne en chef évoque ensuite le long processus pour reprendre le contrôle des 600 serveurs, les sécuriser avant de les redémarrer, un par un, estimant un travail de 1800 jours⋅homme qui a entraîné un retard sur les autres projets. Tout n’était pas encore rentré dans l’ordre huit mois après l’attaque.
* Pour les lecteurs de Paris-Saclay : la double authentification via une application à installer sur son smartphone est nécessaire pour accéder à votre messagerie Outlook, nous dit-on dans l’oreillette. Si vous désinstallez cette application, vous perdez apparemment l’accès à votre nouvelle boîte mail …