Grenoble INP évoque une « intrusion » dans ses serveurs informatiques
Dans un courriel adressé à tous les étudiants, l’administrateur général de Grenoble INP – UGA, Pierre Benech, fait désormais état d’une « intrusion dans les serveurs informatiques » de l’établissement.
[mise à jour, le 6 décembre 2022 @ 17h30] « Suite à une intrusion dans les serveurs informatiques de Grenoble INP - UGA, l'établissement a décidé de déconnecter l'ensemble de ses serveurs du réseau ». C’est ce qu’ont pu lire les étudiants de l’établissement dans un courriel signé de son administrateur général, Pierre Benech, et dont une copie a été transmise à la rédaction.
Selon lui, « l'objectif de cette déconnexion est d'isoler les systémes d'information de l'extérieur afin de protéger les données des étudiants et étudiantes, des personnels et des partenaires ».
Il y a quelques jours encore, la direction de la communication se contentait d’évoquer des « anomalies », tout en ajoutant qu’il n’y avait là « rien de dramatique ». Celle-ci ne nous a pas adressé de nouvelle déclaration et n'a pas retourné notre dernier appel à l'heure où ces lignes sont publiées.
[article original, le 2 décembre 2022 @ 14h15] De sources distinctes, « l’INP Grenoble subit actuellement une attaque informatique de grande ampleur avec pour conséquence la compromission de nombreux comptes informatiques ».
Un message attribué à l’équipe du centre opérationnel de sécurité (SOC) de la DSI d’Inria reprend ces termes. Il ne semble pas diffusé sans discernement : il apparaît destiné exclusivement aux personnels d’Inria ayant été en correspondance « avec au moins une personne de l’INP Grenoble ». Et cela en raison d’une crainte : « il se peut que votre compte et votre ordinateur aient été compromis suite à un de ces échanges ».
Les personnels ayant ouvert un fichier venant de l’INP, cliqué sur un lien, utilisé une ressource IT, ou connecté leur ordinateur à son réseau durant « ces 5 derniers mois » doivent mener des actions préventives : changer leur mot de passe, mais aussi se signaler au CERT Inria.
De l’extérieur, Grenoble INP – UGA apparaît largement déconnecté d’Internet. Son site Web, par exemple, ne répond plus, de même que le portail Web de l’environnement VMware Horizon de l’Ense3. Mais toutes les ressources ne semblent pas affectées. Trois portails Zimbra, par exemple, répondent toujours.
Jointe par la rédaction, la direction de la communication de Grenoble INP réfute toute cyberattaque. Elle ne fait état que « d’anomalies sur nos serveurs » ayant motivé l’isolement, voire la mise à l’arrêt, de bon nombre d’entre eux. Et d’ajouter qu’il n’y a là « rien de dramatique ».
Ce porte-parole n’a pas été en mesure de nous préciser la nature des « anomalies ». Mais pour lui, elles suffisent largement à justifier les mesures prises, quand bien même celles-ci peuvent paraître non négligeables et laisser suspecter une cyberattaque. Un prestataire externe a été sollicité pour enquêter sur ces « anomalies ». Son identité ne nous a pas été précisée.
Mi-septembre, Toulouse INP a été frappé par une cyberattaque impliquant un rançongiciel. La famille de ce dernier ne nous a pas été précisée et l’attaque n’a pas été, à ce jour, revendiquée. L’annuaire avait été touché par le chiffrement, bloquant les mécanismes d’authentification, jusqu’à dégrader les capacités d’accès physique aux bâtiments.