L’Université de l’Utah a révélé avoir payé une rançon de 457.000 $ à un groupe de pirates informatiques afin d’éviter qu’ils ne rendent publiques des données sur les étudiants qu’ils avaient volé.

C’est moins que ce qu’a payé l’Université de San Francisco en juin (plus de 1 million de dollars) mais ces 457.000 $ auraient pu servir de façon plus utile.

Payer une rançon pour protéger des données personnelles

L’Université de l’Utah a déclaré qu’elle avait en fait évité un incident majeur de ransomware et que les pirates n’avaient réussi à chiffrer que 0,02% des données stockées sur ses serveurs. Les données cryptées ont été supprimées et des sauvegardes ont été restaurées.

Mais le problème est ailleurs : avant de lancer le cryptage des données, les pirates ont aspiré tout ce qu’ils pouvaient. Ils ont ensuite menacé l’université de rendre publiques ces données.

L’université a contacté son assureur dans le cadre de son assurance cyber-risque. L’assurance a payé une partie de la somme et l’université a couvert le reste.

L’université n’a pas révélé quel groupe de pirates était à l’origine de l’attaque mais il semblerait bien qu’il s’agisse de NetWalker qui s’est fait une spécialité des attaques contres les universités et qui aurait engrangé depuis le début de l’année pas moins de 25 millions de dollars de rançons! Qui a dit que le crime ne payait pas ?

Quoi qu’il en soit, l’université à payé les pirates qui, en échange, sont supposés détruire les données volées. Mais sans aucune garantie que les données soient réellement détruites. Car pourquoi ces pirates détruiraient-ils ces données alors qu’elles pourraient bien être source de revenus additionnels dans quelques mois ou années ?

Doit-on payer ?

Dans l’absolu la réponse est non. Car payer c’est envoyer le signal que l’on a les moyens de le faire et on devient dès lors la cible des divers groupes de pirates informatiques qui ne vont pas manquer d’attaquer de nouveau.

Dans un cas comme celui qu’à connu l’Université de l’Utah, on peut être amené à payer pour éviter la divulgation de données personnelles. Mais à la suite du paiement de cette rançon il devient urgent et indispensable de bien sécuriser le réseau, d’effectuer un audit de la sécurité informatique afin de lister toutes les failles potentielles et les corriger. Car il est certains que d’autres pirates vont cibler cette université prochainement. A moins d’avoir fait le nécessaire elle sera donc de nouveau piraté…