Un groupe de rançongiciel appelé RansomHouse a revendiqué la cyberattaque qui avait touché l’université Paris-Saclay le 11 août. Il menace à présent de rendre public des documents internes, a annoncé l’université sur son site Internet, vendredi 11 octobre.
« Le groupe de ransomware indique avoir volé 1 téraoctet de données, et menace de divulguer 193 fichiers au format PDF (…) majoritairement des CV, relevés de notes, lettres de motivation/de recommandation, diplômes, et deux documents d’identité, issus, à priori, de 44 candidatures au niveau master, écrit l’établissement. Chacune des 44 personnes concernées va être personnellement contactée par l’université pour les informer. » Paris-Saclay affirme également qu’elle ne paiera aucune rançon, conformément aux recommandations des services de l’Etat dans ce type de situation.
L’université ne nomme pas elle-même l’organisation cybercriminelle qui demande la rançon, mais Le Monde a pu confirmer que cette revendication avait été publiée sur le site du groupe RansomHouse, assortie de fichiers PDF, pour certains anciens, correspondant à la description faite par l’université. Le gang ne précise pas le montant de la rançon demandée.
Un groupe créé récemment
RansomHouse est un groupe de ransomware as a service, c’est-à-dire qu’il loue ses outils de piratage à des « affiliés » contre un pourcentage des gains obtenus. Ses outils et méthodes sont considérés comme plutôt élaborés, et les chercheurs en cybersécurité notent qu’il a des liens avec d’autres groupes bien connus, comme White Rabbit ou Mario ESXi. Apparu récemment, en 2021, il est considéré comme opérant probablement à partir de la Russie. A la fin d’août, les autorités américaines notaient que RansomHouse faisait également partie d’un petit groupe d’acteurs malveillants suspectés de collaborer avec des pirates iraniens.
La cyberattaque dont a été victime Paris-Saclay avait provoqué d’importantes perturbations au sein du plus prestigieux centre de recherche français, douzième au classement de Shangaï. L’établissement avait été contraint de couper des services informatiques sur l’ensemble du campus, dont les boîtes e-mails de ses enseignants et chercheurs, compliquant grandement la rentrée de septembre. L’université a porté plainte ; en parallèle, le parquet de Paris s’est saisi de l’affaire le 12 août et a confié les investigations à l’Office anti-cybercriminalité (OFAC).
A Paris-Dauphine, un piratage de photos d’étudiants juifs
Le 7 octobre 2024, jour de commémoration des victimes des attentats commis par le Hamas en Israël, les photos de profil de 18 étudiants de l’université Paris-Dauphine ont été remplacées par un drapeau palestinien accompagné du slogan « Free Palestine ».
Les photos étaient abritées par un portail interne où sont regroupées un certain nombre d’applications, comme l’accès en ligne à la bibliothèque ou encore le planning des étudiants. Ce portail a été bloqué aussitôt et « c’est sans doute ce qui a permis de limiter les manipulations d’images », commente le président de l’établissement, El-Mouhoub Mouhoud, qui a fait un signalement à la procureure de la République de Paris. « Il apparaît que l’individu qui a procédé à cette manipulation frauduleuse n’a ciblé que des personnes de confession juive, ajoute-t-il. Nous demeurons plus que jamais intransigeants à l’encontre de tout acte ou propos délictueux pouvant s’apparenter au racisme, à l’antisémitisme, aux violences sexuelles et sexistes, ou à tout autre manquement à l’intégrité physique et morale des personnes. »
