Touché le 1er juin par un logiciel malveillant, l’University of California San Francisco, ou UCSF, a finalement décidé de verser une rançon aux malfaiteurs afin de pouvoir récupérer l’accès à ses données.
Notre affaire débute comme de nombreuses autres tant les attaques par ransomware sont devenues courantes depuis Wannacry. Le 1er juin, l’équipe informatique de l’UCSF (University of California San Francisco) repère un accès non autorisé au système informatique de la faculté de médecine. L’attaque a pu être stoppée, mais avant de sortir du SI, les malfaiteurs n’ont pas manqué d’utiliser un logiciel malveillant de sorte à chiffrer les données présentes sur “un nombre limité de serveurs”.
“Nous avons réussi à isoler l'incident du cœur du réseau UCSF” explique l’université, qui a mis en quarantaine les systèmes infectés. “Surtout, cet incident n'a pas affecté nos opérations de prestation de soins aux patients, le réseau global du campus ou le travail COVID-19”. Elle ajoute que les données de patients n’auraient pas été compromises, tout en se montrant prudente sur ce point, et souligne que l’attaque était moins ciblée qu’opportuniste.
Car les attaquants ont effectivement dérobé des données, données utilisées pour authentifier leur attaque auprès de l’Université et réclamer une rançon. Or, si l’UCSF enquête au côté du FBI, d’experts externes et d’une entreprise spécialisée en cybersécurité, elle a finalement décidé de payer une partie de la somme réclamée par les pirates.
1,14 million de dollars en bitcoins
“Les données qui ont été chiffrées sont importantes pour une partie du travail académique que nous poursuivons en tant qu'université au service du bien public” écrit l’UCSF. “Nous avons donc pris la décision difficile de payer une partie de la rançon, environ 1,14 million de dollars, aux individus derrière l'attaque de malware en échange d'un outil pour déverrouiller les données cryptées et le retour des données qu'ils ont obtenues”.
L’histoire ne dit pas si les attaquants ont effectivement fourni les clés de déchiffrement, et elle n’aurait sans doute mérité qu’une brève si l’université n’avait pas payé de rançon. On répète souvent qu’il ne faut jamais accéder aux demandes des attaquants, non seulement parce que cette réponse les conforterait, mais aussi parce que malgré paiement de tant de bitcoins, la victime n’est en rien assurée de récupérer l’accès à ses données.
Une étude de Sophos publiée en mai estimait que payer la rançon multiplie par deux le coût total moyen d’un ransomware, entre le rétablissement des systèmes, les temps d’arrêt, les ressources humaines nécessaires et le paiement de la rançon elle-même. Mais cette même enquête démontrait que plus d’un quart des entreprises victimes d’un ransomware payait la rançon, et que seule 1% de ces entreprises a été flouée par les attaquants et n’a pu récupérer ses données. Il ne s’agit aucunement d’encourager à payer les demandes de rançons, mais plutôt de ne pas juger à la va-vite les organisations qui, acculées, prennent ces décisions.