Le plus grand centre du CSIC, paralysé par des hackers | Science

Plus de 600 travailleurs de l’Institut national de recherche en technologie agricole et alimentaire (INIA-CSIC) ne peuvent plus se connecter à leur ordinateur, accéder à Internet ou consulter les données scientifiques stockées sur le réseau interne depuis le 12 novembre en raison d’une attaque informatique. dont l’origine n’est pas claire.

Alors que la crise est résolue, la direction a interdit aux employés d’accéder à leurs ordinateurs avec des appareils externes et a recommandé que s’ils souhaitent accéder à Internet, ils le fassent depuis leur domicile ou en utilisant leurs données mobiles.

“La situation est surréaliste”, avoue à ce journal un chercheur de l’institut, qui avoue que le problème est “énorme” pour les équipes qui doivent passer des commandes urgentes comme du matériel de laboratoire et de la nourriture pour les animaux de recherche. À l’INIA, les recherches sont menées sur des agneaux, des souris, des poulets et d’autres animaux, y compris des races de bétail indigènes exclusives à l’Espagne. Des sources de la direction de l’organisation reconnaissent qu’il s’agit de la première attaque subie dans toute l’histoire de cet institut, créé en 1971.

L’INIA fait partie du Conseil supérieur de la recherche scientifique (CSIC), la plus grande organisation scientifique d’Espagne. L’institut mène des recherches stratégiques sur les cultures, l’élevage ou la pollution de l’environnement et est une référence en Espagne pour la création d’animaux modifiés avec la technique d’édition génétique CRISPR. Des travaux clés sont également réalisés pour améliorer la capacité de reproduction d’espèces menacées telles que le grand tétras, le vison européen, l’antilope Beira et le panda géant.

“Il n’y a presque personne dans le centre, il n’y aura même pas 50 personnes ici aujourd’hui”, explique un autre employé du siège de l’INIA-CSIC, à l’entrée de Madrid sur l’autoroute de La Corogne et près du Palais de La Moncloa. « Nous savons seulement qu’il y a eu une cyberattaque, mais ils ne nous ont pas donné plus d’informations. On nous prévient que les ordinateurs sont très obsolètes et présentent de nombreuses failles de sécurité. La plupart ne prennent pas en charge le système d’exploitation Windows 11 », détaille cette source. Il est impossible de faire des téléconférences ou de télécharger des données de recherche. La plus grande préoccupation est la paralysie des tâches de gestion de l’organisation.

Pendant que cette crise est résolue, l’institut tente de prioriser « à la main » les commandes essentielles, puisqu’il n’y a pas d’accès au serveur interne qui centralise la gestion, expliquent des sources du centre. En attendant que le problème soit réglé, la CSIC a invité les salariés à demander le télétravail. Interrogé par ce journal, un porte-parole du Conseil a expliqué que l’attaque est gérée par le Centre d’opérations de cybersécurité de l’Administration générale de l’État (COCS), et qu’il n’a pas d’autres informations sur son origine et sa portée. Un porte-parole du ministère de la Transformation numérique et de la Fonction publique, dont dépend le COCS, a confirmé à ce journal que l’attaque est du type les rançongiciels, ainsi appelé parce que les pirates Ils bloquent les données sensibles et exigent une récompense pour les restituer. La manœuvre “a contaminé un appareil, mais des mesures ont été prises rapidement, ce qui est la clé pour éviter la propagation”, a précisé cette source. « Il n’y a eu aucune contamination du reste. Cette attaque consiste essentiellement à chiffrer les informations présentes sur les ordinateurs. L’équipement de l’utilisateur concerné a été réinitialisé et reconstruit », ajoute-t-il. L’origine de l’opération n’a pas été précisée ni quand il sera possible de revenir à la normale.

L’INIA regroupe plusieurs instituts. Parmi eux se trouve le Centre de recherche en santé animale, qui abrite des agents pathogènes dangereux et abrite un laboratoire de haute sécurité. L’Institut des sciences forestières fait également partie de l’organisation. Les centres de l’INIA touchés par la cyberattaque comptent près de 650 collaborateurs, ce qui en fait le plus grand centre de recherche lié au CSIC.

Le premier signal d’alarme a été envoyé le 12 novembre. “Nous vous informons que nous n’aurons pas Internet ni accès possible via VPN, en raison d’un grave problème informatique”, a expliqué le secrétaire de direction de l’INIA, sans en expliquer les causes, dans un courrier électronique interne auquel ce journal a eu accès. Deux jours plus tard, Pilar Bacigalupe, secrétaire du directeur, rapportait dans un autre courrier électronique que la direction essayait toujours de résoudre le « problème technique ». Deux jours plus tard, le responsable reconnaît dans un nouveau mail que la déconnexion de l’INIA est due à « une cyberattaque ». “Pour le moment, il n’est pas possible de travailler en ligne à l’INIA, nous ne pouvons pas accéder à Internet ni aux services et applications de l’entreprise”, a-t-il détaillé. Dans son message, la responsable explique que les services informatiques de l’institut et ceux d’une société externe qui fournit également ces services tentent de résoudre le problème en coordination avec la cellule informatique du CSIC et d’autres organismes de l’Administration. Malgré cela, le problème persiste encore aujourd’hui, deux semaines après l’attaque. Pour le moment, le CSIC, une organisation présidée par Eloísa del Pino et dépendant du ministère de la Science, de l’Innovation et des Universités dirigé par Diana Morant, n’a pas donné d’explication sur ce qui s’est passé. On ne sait pas quel type d’attaque l’organisation a subi ni si des informations sensibles ont été compromises.

À l’été 2022, le CSIC a subi une attaque informatique similaire en provenance de Russie. La plus grande organisation scientifique du pays, avec près de 15 000 employés, est restée hors ligne pendant plus d’un mois jusqu’à ce qu’elle parvienne à résoudre le problème. A cette occasion, le ministère de la Science a affirmé avoir complètement déconnecté son réseau pour empêcher la propagation de l’attaque selon le protocole établi par le Centre national de cryptologie (CCN), l’organisme CNI chargé d’assurer la cybersécurité des institutions publiques. La déconnexion a eu lieu le 18 juillet et l’ensemble du réseau n’a pu être rétabli que le 16 août. Le CSIC a noté qu’il dispose de « plusieurs mécanismes de sécurité qui empêchent plus de 260 000 tentatives d’attaques par jour ». A cette occasion, l’INIA a été sauvée des assauts des hackers russes. Cette fois, bien qu’il fasse partie du CSIC, il n’a pas eu autant de chance.