Carte postale de l'université Paris-Saclay attaquée

Salut Sonia, 

Je t'envoie quelques photos de l'université prises le 14 août sur le plateau où j'ai travaillé presque comme d'habitude, et le 15 août lors d'une ballade sous le ciel bleu dans la vallée. 

Le 11 août, la prestigieuse université Paris-Saclay a été victime d'une cyber-attaque par ransomware. Pour faire simple, certains serveurs ont été chiffrés et les pirates demandent une rançon pour fournir les clés qui permettront de déverrouiller cela. 

Toute la semaine, j'ai trouvé l'atmosphère un peu étrange en l'absence du flot de messages, plus ou moins importants, qui arrivent d'habitude. Des collègues d'autres laboratoires subissent des petits tracas, comme l'impossibilité d'imprimer. L'attaque n'a pas empêché les chercheurs de publier, et d'autres de conserver leur prix Nobel, ce qui fait que l'université est 12ième au classement de Shanghai. L'université a fourni des réponses parcellaires aux gens qui ont un compte sur X [1]. 

En voyant l'inquiétude de certains étudiants et de certaines étudiantes sur l'ouverture du service d'inscription ou l'accès aux ressources en ligne pour préparer des examens, j'imagine l'état dans lequel tu serais si Macron n'avait pas sacrifié la jeunesse pendant la crise sanitaire [2]. 

Comment pourrais-je t'aider ? Peut-être en détournant ton regard et en discutant du teaser qui vient de sortir. La saison 7 du Prince des Dragon sort le 19 décembre 2024 ! 

Tu aurais pu prononcer la phrase d'Astrid : 

"Observer le monde ne me suffit pas, je veux l'améliorer !"

Le système d'information de l'université, c'est un château comme celui de Katolis dans le Prince des dragons. Il y a les données des 48000 étudiants, 9000 chercheurs et 4600 doctorants qui dépendant directement de l'université, mais aussi celles d'autres personnes (comme moi), qui sont dans le "périmètre employeur". 

La cyberattaque, c'est l'équivalent de la destruction de Katolis par le dragon Sol Regem. Alors que celui crache du feu, que les murs s'effondrent, Soren ordonne à ses soldats d'arrêter de le combattre pour évacuer la population, en disant que le château n'est qu'un bâtiment, et qu'il faut à tout prix sauver des vies ! 

Peut-être que la semaine prochaine, on n'aura qu'un château de sable, qui s'écroulera quand 48000 jeunes stressés chercheront à se connecter en même temps ? Ce qui va compter, ce sera l'aspect humain. Je sais que les collègues de la direction des services informatiques sont en sous-effectif et n'arrivent pas à recruter à cause des salaires trop bas par rapport au marché. Proposer des dispositifs dès la semaine prochaine est déjà un exploit !

Plus on est nombreux dans une université, plus il y a de Prix-Nobel et de publications, plus on grimpe artificiellement dans le classement de Shanghai. L'université Paris-Saclay est devenue tellement grosse, que le retour à l'humain est difficile. Au sein d'une structures de quelques centaines de personnes, ceux et celles qui ont des soucis peuvent frapper à la bonne porte où en discuter autour d'un café. Mais 48000 étudiants ne vont pas faire la queue physiquement à l'entrée pour s'inscrire ou obtenir leur emploi du temps ! 

L'université n'a pas non plus de service médical apte à gérer les crises d'angoisse, les dépressions de ceux et celles qui feraient face à un mur administratif, leur semblant infranchissable. On peut reconstruire la cathédrale, plus ou moins rapidement en fonction de ce qui a été sauvegardé, mais sans doute pas en une semaine, ni en un mois. Faudra-t-il la décaler de quelques semaines pour réduire les tensions et sauver des vies ?  

Ceux et celles qui ont envie de changer le monde, ou plus simplement s'interrogent sur notre impact sur la société, sur les enjeux sociaux et écologiques papotent sur Discord.[4]

Comme l'année dernière une rentrée alternative se prépare.[5] Sauvera-t-elle des vies ?  

Mis à jour à 10h21 le 16 août. 

Le site web de l'université [6] est accesible (ce qui n'était pas le cas avant), mais est en maintenance. 

Tout humain qui envoie un message à une adresse électronique @universite-paris-saclay.fr reçoit en retour un message d'alerte avec un sujet du type Delayed Mail (still being retried). Dans le corps du message, il peut savoir pendant combien de temps le serveur va essayer de renvoyer le mail en échec (5 jours dans l'exemple ci-dessous).  

Your message could not be delivered for more than 4 hour(s).
It will be retried until it is 5 day(s) old.

Certains serveurs ont des durées de rétention des mails plus courtes et dans ce cas, le message est perdu. L'expéditeur reçoit une alerte et peut essayer de renvoyer le même message. En revanche, tous les messages automatiques, comme l'acceptation d'une publication, ne seront pas renvoyés, ce qui pourrait nuire au classement de Shanghai 2025. 

Mise à jour le 17 août

Je viens de recevoir une notification de Google. L'envoi de messages est testé pendant 3 jours. 

Reporting-MTA: dns; googlemail.com
Arrival-Date: Thu, 15 Aug 2024 23:16:00 -0700 (PDT)
Action: delayed
Status: 4.4.1
Diagnostic-Code: smtp; The recipient server did not accept our requests to connect. 
Last-Attempt-Date: Sat, 17 Aug 2024 00:08:58 -0700 (PDT)
Will-Retry-Until: Sun, 18 Aug 2024 23:16:01 -0700 (PDT)

Mise à jour le 18 août

Les premiers messages perdus sont signalés, après respectivement 4 et 5 jours d'essai de communication entre serveurs smtp. Le premier était un test : 

Le second était une réponse à un groupe de gens. Il y avait deux adresses de l'université dans le lot, mais l'échec n'a aucune conséquence. Bref, on peut se débrouiller sans messagerie universitaire, surtout quand on a une autre messagerie professionnelle, ce qui est le cas de la plupart des gens qui bossent dans des laboratoires, vu que ceux-ci ont en général d'autres tutelles (CNRS, INRIA, CEA, etc...).

Vu que je suis alertée, si le message était vraiment important, je pourrais le renvoyer dans quelques jours ou dans quelques semaines. Si l'attaque est issue d'un clic dans un email comme l'indique ZATAZ [7], je comprends que la DSI ne soit pas pressée de remettre ce service en ligne. 

Mise à jour 19 août

La version origami de Sol Regem a été détruite par les gastéropodes et les pluies abondantes du week-end. Google m'a informée que mon message de test envoyé le 15/08 ne serait pas distribué (Failure).

J'ai trouvé le scénario de ce qui se passe actuellement sur le site de l'ANSSI [8]. Après la mise en place d'une cellule de crise (alerte spoiler), il faudra : 

• Sensibilisation
• Augmentation des budgets
• Mise en place d'un plan de continuité d'activité

Un site web temporaire a été mis en ligne vers 16 heures [6]. Il n'y a pas encore d'information sur le piratage, mais de la psychologie positive sur une journée d'accueil des étudiants et bien sûr, le classement de Shanghai. De qui se moque-t-on ? 

Mise à jour le 21/08

Dix jours après la cyber-attque, la FAQ sur le piratage est mise en ligne [9]. Ce que je retiens : 

• On ne connait pas l'identité des pirates.
• Plainte déposée seulement le 20/08 (pour une cybe-attaque le 11).
• Priorité au rétablissement de la messagerie
• Plusieurs semaines à plusieurs mois avant de reprendre une activité normale.
• Une messagerie temporaire sur Outlook
• Aucune info sur une éventuelle fuite de données personnelles.

1. Tweet du 15/08
2. E. Piotelat, Monsieur le président, 01/2021
3. E. Piotelat, We all fall down (S06E08), 08/2024
4. Paris-Saclay en Lutte
5. 1er septembre : Organisation autre rentrée Paris-Saclay.
6. https://www.universite-paris-saclay.fr/
7. D. Bancal, C’est la rentrée, il va falloir se méfier des clics malheureux, 08/2024
8. Cybermoi/s 2022 : tous ensemble face aux rancongiciels et au hameconnage
9. FAQ Piratage