L'école de médecine de l'université de Californie à San Francisco (UCSF) a payé plus de 1,14 millions de dollars à un gang de rançonneurs. Les cybercriminels tenaient leurs fichiers en otage depuis le début du mois de juin.

Une université accepte de payer des criminels pour se débarrasser d’un rançongiciel. Le 3 juin, le gang Netwalker annonçait sur son blog dédié aux fuites de données qu’il avait pénétré sur le système de l’école de médecine de l’université de Californie à San Francisco (UCSF).

Comme preuve de son méfait, il accompagnait son message de plusieurs fichiers qui contenaient notamment les précieux numéros de sécurité sociale de nombreux étudiants. L’école de médecine de UCSF se place très haut dans plusieurs classements américains sur la recherche publique en santé. Elle s’est donc forcément intéressée à la Covid-19 avec l’expansion de la pandémie.

Sur son site rudimentaire, l’UCSF met en avant sa position parmi les meilleures unités de recherche publique du pays. // Source : UCSF

Après une longue négociation, menée par une autre organisation dépêchée à son chevet, l’UCSF est parvenue a convaincre les rançonneurs du groupe Netwalker d’accepter un rabais. Au lieu des 3 millions demandés, l’établissement n’a payé « que » 1 140 895 dollars, soit 116,4 bitcoins, rapporte la BBC. Elle espérait payer moins de 800 000 dollars, bien qu’elle génère plusieurs milliards de chiffre d’affaires par an.

En échange, les cybercriminels ont promis de leur fournir les outils pour déchiffrer les données, en plus de supprimer la copie en leur possession. Les experts du secteur déconseillent de façon quasi unanime de payer la rançon, car cela implique de faire confiance aux malfaiteurs, qui pourraient tout à faire revendre les données sans que la victime ne le sache, ou ne tout simplement pas honorer leur promesse.

Difficile de comprendre pourquoi l’université a payé

L’UCSF a confirmé le paiement et a précisé dans un communiqué que l’incident : « n’a pas affecté ses prestations de soins aux patients, ni le réseau global du campus, ni le travail sur Covid-19. » Pourquoi a-t-elle payé alors ? Le communiqué se contente d’ajouter, vaguement :  « Les données qui étaient chiffrées sont importantes pour une partie du travail académique en tant qu’université qui œuvre pour le bien public. »

L’institution américaine se félicite de sa gestion de crise : elle a isolé en quarantaine le réseau de l’école de médecine, de sorte que le rançongiciel ne s’est pas répandu au reste de son système informatique. En revanche, le paiement de la rançon soulève des questions sur sa gestion des données.

Et les sauvegardes ?

Habituellement, les victimes ne paient pas les cybercriminels, afin de ne pas alimenter le cercle vicieux des rançongiciels, qui s’améliorent sans cesse grâce aux rançons. À la place, il est conseillé de réinitialiser son système, et de le rétablir à partir de la dernière sauvegarde non contaminée. Si le système d’enregistrement est correctement mis en place, la perte de données causée par le rançongiciel ne dépasse pas quelques dizaines d’heures de travail. Il est donc étonnant que l’université se soit engagée dans une négociation déconseillée.

L’université de Michigan State, également touchée par Netwalker le 28 mai, a de son côté refusé de payer. En conséquence, les données de son système (recherche, fiches d’étudiants, informations sur le personnel…) ont été publiées.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux