Anatomie d’une cyberattaque : un récit à la première personne

« Même si cela s’est produit il y a deux ans et demi, cela me rend toujours anxieux et mal à l’aise de m’en souvenir. » Avec ces mots, Gonçal Badenes, CIO de l’Université Autonome de Barcelone (UAB), raconte à la première personne comment il a vécu la cyberattaque de rançongiciel que le groupe cybercriminel PYSA a perpétré en 2021 contre l’établissement d’enseignement public. Comme d’habitude en ces occasions, le cyberincident a eu lieu lors d’un long week-end, à l’occasion de la Journée du patrimoine hispanique, célébrée religieusement chaque 12 octobre en Espagne. « Ils agissent toujours quand ils vous croient plus faible », commente le directeur des Technologies de l’Information et de la Communication dans le cadre du Le monde des technologies Dell que la société technologique détenait à Las Vegas (États-Unis).

C’est le système de détection de la continuité du service qui a donné l’alarme après avoir constaté que, un à un, les systèmes de l’Université commençaient à tomber en panne.. Ensuite, le personnel responsable a décroché le téléphone et a contacté Badenes et le comité de sécurité pour que l’organisation devait auparavant inverser la situation. Dès la première minute, tous les efforts ont visé à comprendre ce qui s’était passé, comment cela s’était produit et ce qu’il fallait faire pour se remettre de l’un des maux les plus redoutés du 21e siècle : rançongiciel. C’est ainsi que, malgré l’incertitude initiale, le travail titanesque et le sentiment de vulnérabilité permanente, ils ont réussi à survivre à la cyberattaque, en en ressortant même plus forts.

Anatomie du cyberincident qui a marqué un avant et un après dans la stratégie de cybersécurité de l’UAB.

Démêler ce qui s’est passé

Avec le recul, avant que l’alarme ne soit tirée, l’Université disposait déjà d’un plan d’adaptation conformément au Programme de Sécurité Nationale, avec une équipe de spécialistes préparés et sa propre méthodologie pour faire face à une situation présentant ces caractéristiques avant qu’elle ne se produise. « Nous savions que cela pouvait arriver, nous avions pris des mesures en la matière, tout comme on fait un exercice d’incendie une fois par an, nous avons fait la même chose avec la cybersécurité, c’était un sujet que nous prenions au sérieux. » Cependant, malgré la prudence, le pire a fini par arriver.

Une fois Badenes en place et le protocole de cybersécurité activé, le conseil d’administration de l’UAB a évalué les dégâts : « Nous avons vu que le magasin de données Le VMWare a été endommagé et, en quelques minutes, il a également été crypté car des notes de crash ont commencé à apparaître. rançongiciel dans les équipements du Centre Informatique (CPD)”. L’attaque principale, rappelle le CIO, visait le CPD, mais Il y a également eu une attaque latérale sur le campus virtuel, où ils ont déployé un scénario PowerShell qui a commencé à chiffrer les ordinateurs des utilisateurs actifs sur le campus et connectés au domaine. « Ceci, je crois, a été fait simplement pour accroître la visibilité, pour servir de médiateur dans l’affaire ; Les dégâts qu’ils ont causés ont été très limités et ils ont donc veillé à ce que le personnel des TIC et la communauté étudiante sachent ce qui se passait.

L’équipe attaquante, selon Badenes, était « très professionnelle ». «Parfois, jusqu’à dix personnes travaillaient simultanément entre minuit et six ou sept heures du matin pour agir sans éveiller les soupçons.» L’Agence catalane de cybersécurité était également compétente, qui a rejoint de sa propre initiative l’Agence de protection des données, la police et le partenaire technologique S2Grupo et Dell Technologies qui en ont fait leur propre bataille.

« Dans notre cas, l’impact opérationnel était important. » A priori, avoue Badenes, ils ont été très clairs sur le fait qu’en cas de cyberattaque, ils déconnecteraient le réseau, arrêteraient les équipements et « jetteraient » tout à terre pour « éviter de plus grands maux ». Cependant, le CIO avoue après coup, « L’ampleur de l’effet de tout arrêter est difficile à imaginer jusqu’à ce que vous y soyez confronté. » Une université de ce calibre, traditionnellement en présentiel, qui a dû s’adapter aux temps de pandémie en utilisant la numérisation, l’innovation et la technologie, a dû revenir au tableau et à la craie en un temps record. « Nous n’avons jamais arrêté d’enseigner, mais nous avons dû nous réinventer. Encore une fois, car ce n’était pas le premier incident auquel ils étaient confrontés. L’un des gros problèmes que vous rencontrez dans un moment comme celui-ci est que vous devez communiquer à vos utilisateurs ce qui se passe aussi rapidement et de manière transparente que possible ; cependant, les listes de diffusion et le portail Web étaient également inaccessibles.

À ce stade, comme à tant d’autres au fil des jours, ils ont remarqué que « les protocoles internes dont vous disposez, aussi rapides et structurés soient-ils, sont trop lents alors que l’action doit être immédiate ». Ce qui a été efficace, confirme le directeur ICT, c’est d’avoir identifié une entreprise qui pourrait les aider en cas d’incident, « cela signifie que nous n’avons pas perdu des heures ou des jours qui sont extrêmement précieux dans une circonstance comme celle-ci ».

Minute par minute : de la criminalistique aux alliances stratégiques

Comme s’il s’agissait d’un jeu, Badenes raconte minute par minute ce qui est considéré comme la plus grande cyberattaque à laquelle l’établissement d’enseignement ait été confronté. Récapitulant, Aux mains d’acteurs malveillants, les fichiers ont été attaqués et cryptés. magasins de données de VMware, « En les chiffrant, vous fermez tous les services ci-dessus, mais vous ne pouvez pas accéder aux machines. » A quoi oui Le groupe cybercriminel avait accès au Active Directory et à contrôleur de domaine; En conséquence et à travers eux – soupçonne le CIO – ils pourraient éventuellement accéder à un dossier partagé contenant des informations sensibles, « Mais ce qui n’a pas été affecté, ce sont les serveurs de bases de données de l’université. »

Derrière la légal dirigés par l’Agence catalane de cybersécurité, ils ont appris que les bases de données des entreprises restaient à l’abri ; Par conséquent, les dossiers académiques, les informations financières et toutes les informations personnelles du personnel de l’entreprise sont restés en sécurité. « Dans le pire des cas, la quantité de données divulguées aurait été infime. » Ici se pose le dilemme : céder au chantage ou rester ferme. « Nous ne les avons ni payés ni contactés, nous avons complètement ignoré les notes de rançongiciel». Les raisons sont détaillées par le directeur informatique avec une certaine dérision et sarcasme : « pour des raisons éthiques, pour des raisons juridiques et parce que nous n’avions aucun moyen possible de le faire en tant qu’entité publique puisque toute dépense supérieure à 15 000 euros implique que nous souscrivions à un compte public ». tendre. » « Je pense que les attaquants n’ont jamais compris les particularités d’une attaque contre une entité publique dans le pays. »

Protocole à suivre : tel était le plan d’action

Les étapes à suivre, minutieuses et craintives, consistaient à tout désactiver, à contacter partenaire autorités technologiques et compétentes pour comprendre ce qui s’est passé et effectuer une légal. « Jusqu’à ce que vous sachiez quel type d’attaque a eu lieu, comment elle a été menée et quelle malware avez déployé, vous ne pouvez pas récupérer les services. En termes de sauvegardel’université en disposait en deux exemplaires dans deux CPD différents sur le campus et en un troisième sur cassette en dehors du périmètre de l’organisation. « Nous avons examiné le premier et il a été détruit, tout comme le deuxième. Avant d’arriver au troisième, vous priez pratiquement. » « Nous avons perdu dix jours de travail mais nous savions que les bandes n’étaient pas cryptées. »

Durant ces instants, Dell a été d’une grande aide : « Après leur avoir dit que nous avions les deux sauvegarde crypté, sans exercer aucune pression, l’entreprise le fait remonter au plus haut niveau et à la plus haute priorité en nous mettant en contact avec les meilleurs techniciens”. Selon Badenes, l’entreprise qui a germé au dortoirs de l’Université du Texas travaillait 24 heures sur 24, 7 jours sur 7, en équipes éternelles. «Ils nous avaient déjà prévenus, le premier sauvegarde C’était irrécupérable; Mais avec le second, ils sont restés silencieux, ils n’ont donné aucun signe jusqu’à ce que l’espoir surgisse enfin et un jour plus tard nous l’avons eu. « C’était incroyable ce qu’ils ont réalisé en manipulant les choses à un niveau très bas dans la cabine et en réussissant à tout reformater. »

À ce moment-là, plus d’un soupir s’est fait entendre, « le niveau de stress a considérablement diminué ». L’étape suivante consistait à relever tout ce qui avait été démoli auparavant, mais, comme le souligne le CIO, « Vous devez être sûr que tous les systèmes sont propres. Lorsqu’une attaque comme celle-ci se produit, non seulement elles chiffrent vos systèmes, mais elles peuvent aussi les avoir laissés. portes dérobées». Conscient de cela, le directeur ICT a pris les rênes et a décidé de refaire stratégiquement les systèmes critiques à partir de zéro : sauvegardeidentité, bases de données et virtualisation. « Nous les avons réinstallés à partir de zéro, appliqué toutes les mises à jour et avons ensuite commencé à vider les données pour empêcher toute configuration malveillante de s’infiltrer. » Au total, se souvient-il, « cela a duré deux semaines avec les systèmes à l’arrêt ». « Le premier service commence quinze jours après l’attaque ; Après deux semaines supplémentaires, les services essentiels à l’université étaient tous opérationnels ; La guérison complète s’est produite trois mois plus tard, même s’il s’agissait de choses relativement petites.

Résilience opérationnelle ; un nouveau changement de stratégie

La politique qu’ils ont adoptée exigeait que tout système érigé soit réalisé conformément aux meilleur entrainement; En fait, ajoute le DSI, « il y avait des services que nous condamnions à l’oubli pour cause d’obsolescence ». Normalement, explique-t-il, la continuité des services passe avant la cybersécurité. « Cela a changé maintenant, il y a un changement de dynamique. » Une fois la cyberattaque survenue rançongiciel, « On se rend compte qu’il y avait une lacune due à un système très obsolète qu’il n’était jamais bon d’arrêter et de mettre à jour. » Depuis, les événements ont changé : désormais, lorsqu’une action de sécurité doit être menée, ils préviennent le département et la planifient, mais nous la réalisons « toujours ». En général, « le changement a été brutal, notre situation sécuritaire actuelle est bien meilleure qu’avantmême si cela ne signifie pas que nous continuons à avoir des vulnérabilités car il n’existe pas de système sécurisé à 100 %.