Cyberattaque : Le Grand Palais et une quarantaine de musées victimes d'une tentative de rançonnage

Une quarantaine de musées, dont la boutique du Louvre et le Grand-Palais, subissent toujours ce mardi 6 août les conséquences d'une cyberattaque au "rançongiciel" qui a eu lieu ce week-end.

Une cyberattaque a touché ce week-end en France l'établissement public Grand Palais-RMN (Réunion des musées nationaux), où se tiennent des épreuves des Jeux olympiques, et par ricochet 36 librairies-boutiques d'autres musées et grands sites touristiques gérées par cet établissement, dont le Louvre et Versailles. 

Attaque dans la nuit

Dans la nuit de samedi à dimanche, l'ensemble des accès aux serveurs du Grand Palais-RMN a été coupé. Par voie de conséquence, ce sont les 36 librairies-boutiques des musées gérés par cet établissement — comme le château de Versailles, les musées du Louvre, d'Orsay ou Picasso à Paris — qui ont été touchées, mais pas les musées eux-mêmes. 

"Il est probable que la vulnérabilité ait été détectée avant parce que les attaques se sont toutes déclenchées dans la nuit de samedi à dimanche", moment où il y a "moins de personnel sur place" et peut-être "moins de vigilance”, a expliqué à l'AFP Christophe Auberger, expert en cybersécurité au sein du cabinet Fortinet.

Des conséquences ?

"Aucune extraction de données n'a été constatée à ce stade" par l'établissement et les équipes de l'Agence française de sécurité informatique (Anssi), a assuré mardi à l'AFP le directeur du Grand Palais-RMN, Christophe Chauffour. L'attaque n'a pas non plus eu d'effet sur le fonctionnement du Grand Palais, actuellement utilisé par des épreuves des Jeux Olympiques et relié aux réseaux de Paris 2024, a-t-il ajouté.

Du côté des librairies-boutiques des musées, une solution a aussi été trouvée afin de leur permettre de fonctionner de manière autonome depuis dimanche. Les employés du Grand-Palais-RMN n'avaient cependant toujours pas d'accès à leurs messageries et réseaux internes mardi 6 août, car l'analyse de l'attaque était toujours en cours.  Ces investigations peuvent durer quelques jours, voire une à plusieurs semaine(s), afin de s'assurer que les réseaux sont à nouveau sains, selon les experts en cybersécurité. Ces derniers ont rappelé que, pendant les JO, "on est face à une menace bien identifiée" mais que, "pour l'instant, les attaques ont pu être jugulées".

Un rançongiciel utilisé

Une enquête judiciaire a été ouverte par le parquet de Paris pour "atteintes à un système de traitement automatisé de données" et les recherches ont été confiées à la Brigade de lutte contre la cybercriminalité. L'établissement a par ailleurs annoncé avoir saisi la Commission nationale de l'informatique et des libertés, autorité française de protection des données personnelles, comme dans toute cyberattaque.

Une source policière a évoqué le recours dans cette attaque à un rançongiciel, c'est-à-dire un programme qui exploite des failles de sécurité d'une entreprise ou d'un individu pour chiffrer et bloquer ses systèmes informatiques et des données, avant qu'une rançon ne soit exigée pour les débloquer. Il s'agirait alors d'une cyberattaque assez classique dont le but est de couper les réseaux internes de l'établissement visé.

Selon Christophe Chauffour, un document a été posté sur l'un des serveurs et il est en cours d'analyse, mais il n'y avait en revanche pas de demande formelle de rançon financière, ni d'échéance fixée.

À Montluçon, un automobiliste contrôlé avec 2,2 grammes d'alcool dans le sang

Avec AFP