En quelques semaines, deux collèges québécois ont été victimes de cyberattaques. Quelques mois plus tôt, c’était une université. Cela survient alors que, dans le monde anglophone, on semble réaliser que les caractéristiques inhérentes à ces institutions et aux centres de recherche en font des cibles faciles.
Comme l’expliquait un article publié dans la revue britannique Nature le 19 mars, la liste des institutions qui ont été victimes d’attaques cybercriminelles ou d’autres extorsions en ligne ces dernières années est alarmante, et elle ne reflète pas la quantité d’attaques qui ont échoué.
Le dirigeant principal des services d’information de l’Institut Francis-Crick, à Londres, James Fleming, affirme qu’il est difficile d’estimer l’ampleur du problème. Toutefois, « les données collectées par le pare-feu montrent que des robots essaient des mots de passe différents pour se connecter à des comptes ou à des systèmes, ou tentent de détecter des failles des dizaines de milliers de fois par semaine » explique-t-il. Autrement dit, ces établissements vivent une sorte d’état de siège maintenu par des robots automatisés qui tentent en permanence de se connecter aux systèmes.
La vulnérabilité des universités et des instituts de recherche repose sur leur fonctionnement. En effet, ces établissements se sont construits sur l’ouverture et l’échange de données. De plus, leurs employés sont nombreux et sont souvent plus soucieux d’être capables d’accéder à distance au système de leur institution. Enfin, beaucoup d’établissements n’investissent pas régulièrement en cybersécurité.
Quand la cyberattaque survient
Quand un établissement est attaqué, il a deux solutions : payer la rançon ou encaisser le coup. Si tout est sauvegardé et qu’aucune donnée confidentielle n’a été touchée, il possible de s’en sortir sans avoir à payer, mais en perdant tout de même le résultat de semaines de travail. Par ailleurs, payer ne protège pas contre l’utilisation ou la divulgation des données, et cela peut entraîner des répercussions juridiques. Par exemple, des personnes affectées par l’attaque du Fred Hutchinson Cancer Center de Seattle, en 2023, ont entamé des poursuites contre l’établissement.
En octobre 2022, le Grand réseau d’antennes millimétrique/submillimétrique de l’Atacama, au Chili, a mis « un peu moins de sept semaines » à se remettre d’une attaque, selon le directeur de son département informatique, Jorge Ibsen, cité dans l’article de Nature. Le coût ne peut être qu’estimé, mais s’élèverait à « 13 % du coût annuel des opérations, ce qui représente le nombre de jours sur l’année pendant lesquels nous n’avons pas pu remplir notre mission » explique-t-il.
Au Québec, deux laboratoires de l’Université de Sherbrooke ont été victimes d’un rançongiciel en décembre 2023, « limité à quelques actifs informatiques en recherche », déclare le vice-recteur aux ressources humaines et à la transformation numérique. « Nos analyses ont révélé que certains renseignements personnels d’un nombre limité de personnes font partie des données ayant été exfiltrées et celles-ci ont été rendues publiques par l’assaillant. Les personnes concernées par l’incident ont été notifiées, ainsi que les autorités appropriées. Toutes les activités et les systèmes de l’Université demeurent fonctionnels. »
Au début du mois de mai, certains serveurs du Cégep de Lanaudière ont à leur tour, été victimes d’une cyberattaque, forçant l’école à fermer ses portes pendant une semaine. À la mi-mai, c’était au tour du Collège Ahuntsic.
