Université Paris-Saclay : l'attaque revendiquée par un collectif atypique

Y a-t-il eu chiffrement de données à l'université Paris-Saclay dans le cadre de l'attaque subie en août dernier ?

Le terme n'est jamais apparu sur les principaux canaux officiels de communication au sujet de cet incident.

Aux dernières nouvelles, il est toujours question d'une perte de données dont l'étendue "reste encore à déterminer". On vient toutefois d'apprendre que les lecteurs réseau sont "de nouveau pleinement fonctionnels" sur les postes de travail connectés en filaire - et qu'on peut accéder à l'intégralité des fichiers enregistrés avant l'incident.

Autre nouvelle fraîche : la revendication de l'attaque par RansomHouse. Ce collectif dont les premières traces remontent à fin 2021 a, entre autres particularités, celle d'affirmer ne pas utiliser de ransomwares... En cela, il faut entendre "ne pas chiffrer de données, simplement les exfiltrer". Ce qui n'empêche pas que la finalité est d'extorquer une rançon.

RansomHouse : tout travail mérite rançon ?

RansomHouse joue sur cet aspect pour donner une couleur "éthique" à son approche. Il va jusqu'à se présenter comme une "communauté professionnelle de médiateurs" dont l'objectif principal serait de "minimiser les dommages que pourraient subir des tiers". Et à clamer que les coupables ne sont pas ceux qui trouvent une vulnérabilité ou l'exploitent, mais ceux qui n'ont "pas verrouillé la porte".

Au final, RansomHouse vante une forme de travail que la rançon viendrait récompenser, et qui pourrait même être suivi d'une "coopération amicale et productive" pouvant aller jusqu'à la fourniture d'un rapport de vulnérabilités. En parallèle, il dit proposer aux personnes concernées par les leaks de se manifester sur son canal Telegram* pour demander que leurs informations soient retirées avant publication des données.

Dans le cas de Paris-Saclay, il en aurait filtré 1 To. RansomHouse a mis en ligne un échantillon dont l'université elle-même a entrepris de donner la composition. En l'occurrence, 193 fichiers PDF (des CV, des relevés de notes, lettres de motivation, des diplômes, etc. et une carte d'identité) liés à 44 candidatures au niveau master.

D'autres établissements d'enseignement figurent sur la liste des victimes revendiquées de Ransomhouse, comme la Webber International University (Floride) et le Hong Kong College of Technology. Le secteur de la santé y est également bien représenté. Les gouvernements le sont dans une moindre mesure - Vanuatu et Saint-Kitts-et-Nevis notamment. Comme les fournisseurs technologiques (AMD, ADATA...).

* RansomHouse avait créé un Twitter en avril 2023, mais il ne l'a alimenté que d'un leak, concernant une ESN américaine.

Illustration © BoredWithACamera / CC BY 2.0