Chronologie de l’attaque : un moment stratégique

Selon les informations disponibles, la cyberattaque contre l’Université Panthéon-Sorbonne a débuté tôt dans la matinée, aux alentours de 4h30, lorsque la majorité du personnel administratif et des étudiants étaient inactifs. Ce choix de timing, classique dans les cyberattaques, vise à maximiser l’impact en perturbant le système avant que les équipes techniques ne puissent intervenir efficacement. Les cybercriminels ont probablement commencé par une phase de reconnaissance pour identifier les failles potentielles dans les systèmes informatiques de l’université.

Kill Chain de l’attaque : étapes de l’intrusion

L’analyse préliminaire des experts en cybersécurité a permis de reconstituer la kill chain de cette attaque sophistiquée. Cette chaîne d’attaque, qui décrit les différentes étapes suivies par les cybercriminels, nous donne un aperçu des actions menées par les hackers et de la complexité de leur approche.

1. Reconnaissance

Dans cette première phase, les attaquants ont probablement scanné le réseau de l’Université Panthéon-Sorbonne pour identifier les points vulnérables, tels que des serveurs mal protégés, des ports ouverts ou des failles dans les systèmes de gestion des accès. Il est possible que les hackers aient également collecté des informations sur les utilisateurs et leurs privilèges pour maximiser leurs chances de succès.

2. Livraison

La méthode de livraison choisie par les cybercriminels semble être un email de phishing ciblé. Plusieurs membres du personnel administratif ont rapporté avoir reçu des courriels suspects dans les jours précédant l’attaque, certains contenant des liens ou des pièces jointes malveillants. Une fois que ces liens sont cliqués ou que les fichiers sont ouverts, le malware s’infiltre dans le réseau.

3. Exploitation

L’exécution du malware a exploité des vulnérabilités dans le système de l’université, probablement via des applications non mises à jour ou des failles de sécurité dans les logiciels utilisés. Le malware a pris le contrôle de certains systèmes critiques, notamment les serveurs d’authentification, permettant aux attaquants de se déplacer latéralement dans le réseau.

4. Escalade de privilèges

Après avoir compromis des comptes standard, les hackers ont utilisé des techniques d’escalade de privilèges pour accéder aux comptes administrateurs. Ces privilèges leur ont permis de désactiver certaines mesures de sécurité, d’accéder à des bases de données sensibles, et de bloquer les systèmes de détection automatique d’intrusion (IDS).

5. Déploiement du ransomware

À environ 6h15, les attaquants ont déployé un ransomware sur les serveurs de l’université. Ce ransomware a chiffré des milliers de fichiers, paralysant des systèmes critiques tels que la plateforme d’apprentissage en ligne, les bases de données des étudiants, ainsi que des informations confidentielles liées aux recherches en cours. Les cybercriminels ont ensuite laissé une demande de rançon en exigeant le paiement dans une cryptomonnaie, menaçant de publier les données si leurs exigences n’étaient pas respectées.

6. Command and Control (C2)

Pendant toute la durée de l’attaque, les attaquants ont utilisé un serveur C2 (Command and Control) pour orchestrer les différentes actions malveillantes à distance. Ce serveur leur permettait de maintenir un contrôle sur le réseau de l’université et de communiquer avec le ransomware pour chiffrer des fichiers supplémentaires ou exfiltrer des données sensibles vers l’extérieur.

7. Exfiltration et destruction des preuves

Avant d’être détectés, les attaquants ont réussi à extraire une partie des données sensibles, dont les informations personnelles des étudiants et des membres du personnel, ainsi que des recherches en cours. À 7h30, les premières tentatives de réponse de l’équipe informatique ont été lancées, mais les attaquants avaient déjà pris soin d’effacer certaines traces de leur passage et de désactiver des journaux d’audit pour compliquer l’enquête.

Impact immédiat et réponses de l’Université

L’attaque a eu des conséquences considérables sur l’ensemble des services de l’Université Panthéon-Sorbonne. Les plateformes d’apprentissage en ligne ont été mises hors ligne, les services administratifs suspendus, et les systèmes de communication interne compromis. Cette paralysie a touché des milliers d’étudiants et d’enseignants, perturbant le début des cours et ralentissant les processus académiques.

Face à cette situation, l’Université a rapidement sollicité l’aide de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour tenter de contenir l’attaque. Une cellule de crise a été mise en place, et des experts en cybersécurité ont été mobilisés pour évaluer les dégâts, isoler les systèmes infectés et commencer le processus de restauration des données.

L’université a pris la décision stratégique de ne pas céder à la rançon exigée par les cybercriminels, préférant s’appuyer sur les sauvegardes disponibles pour restaurer ses données. Cependant, la restauration complète des systèmes pourrait prendre plusieurs semaines, voire des mois.

Leçons à tirer : renforcer la cybersécurité dans l’enseignement supérieur

Cette cyberattaque contre l’Université Panthéon-Sorbonne souligne une fois de plus la nécessité pour les établissements d’enseignement supérieur de renforcer leurs mesures de cybersécurité. Les attaques contre les universités sont devenues de plus en plus fréquentes ces dernières années, et ce, pour plusieurs raisons :

• Quantité de données sensibles : les universités stockent des informations personnelles sur les étudiants, des résultats de recherche souvent sensibles, ainsi que des collaborations avec des entreprises et des gouvernements.
• Systèmes complexes : les infrastructures universitaires sont vastes et diversifiées, avec des utilisateurs multiples et des systèmes souvent connectés entre eux, ce qui rend la sécurisation de l’ensemble particulièrement difficile.
• Budget insuffisant : malgré l’importance croissante des menaces numériques, de nombreuses universités peinent à allouer des ressources suffisantes à la protection de leurs systèmes informatiques.

Mesures à prendre pour éviter de futures attaques

Pour éviter la répétition de tels incidents, il est essentiel que les établissements d’enseignement supérieur prennent des mesures proactives pour améliorer leur posture de cybersécurité. Voici quelques recommandations basées sur les leçons tirées de cette attaque :

1. Investir dans des outils de sécurité avancés : les universités doivent s’équiper de systèmes de détection et de prévention des intrusions (IDS/IPS), de solutions de gestion des accès, ainsi que de pare-feux de nouvelle génération capables d’analyser les comportements anormaux.

2. Mise à jour et gestion des vulnérabilités : maintenir les systèmes à jour avec les derniers correctifs de sécurité est essentiel pour réduire les risques d’exploitation de failles.

3. Renforcer la sensibilisation : les étudiants, enseignants et administrateurs doivent être formés régulièrement aux bonnes pratiques de sécurité, en particulier pour éviter les pièges courants comme le phishing.

4. Plans de reprise après sinistre : les universités doivent avoir des plans de continuité des activités et de reprise après sinistre bien définis et testés régulièrement pour s’assurer que les données puissent être récupérées en cas d’attaque.

Conclusion

La cyberattaque contre l’Université Panthéon-Sorbonne est un avertissement pour tout le secteur de l’enseignement supérieur. Dans un contexte où la numérisation des services académiques se poursuit, les cybercriminels profitent des vulnérabilités pour paralyser les systèmes et extorquer des fonds. Il est temps pour les institutions d’investir massivement dans la cybersécurité et de se préparer aux menaces numériques croissantes.