Cybersécurité

Les superordinateurs de l’EPFZ et du CSCS victimes d'une cyberattaque

par Steven Wagner et René Jaun

Plusieurs superordinateurs dans toute l’Europe ont été piratés en raison de connexions SSH compromises. En Suisse, l’EPFZ et le Centre suisse de calcul scientifique (CSCS) sont concernés. L’attaque aurait eu pour but de miner des cryptomonnaies.

Le Piz Daint, au Swiss National Supercomputing Centre de Lugano. (Source: CSCSC)
Le Piz Daint, au Swiss National Supercomputing Centre de Lugano. (Source: CSCSC)

Une série de cyberattaques a frappé plusieurs superordinateurs à travers l’Europe via des informations d'identification SSH compromises. Depuis le lundi 11 mai, plusieurs institutions de recherche ont signalé des incidents, les poussant à désactiver leurs supercalculateurs ou à bloquer l’accès externe à leurs infrastructures, rapporte ZDNet. Ces attaques ont été observées au Royaume-Uni, en Allemagne et en Suisse.

En Suisse, c’est l’EPFZ et le Centre suisse de calcul scientifique (CSCS), situé au Tessin, qui ont été attaqués. Du côté de l’université zurichoise, les supercalculateurs Euler et Leonhard sont concernés. Comme l'attaque a été menée via un accès SSH compromis, l'accès aux utilisateurs est désormais bloqué, explique une page de l’EPFZ qui dresse l’état des lieux de l’incident.

«Les clusters resteront fermés jusqu'à ce que nous sachions comment l'attaque a eu lieu et comment protéger nos systèmes contre elle», peut-on lire. Une fermeture qui ne concerne que les login nodes. Selon l’EPFZ, il n’y a pour l’instant pas suffisamment d’information pour savoir quand la situation reviendra à la normale. «Cela prendra très probablement plusieurs jours, voire des semaines.»

Le CSCS a également désactivé temporairement l'accès externe à ses systèmes. Les prévisions météorologiques de Météosuisse, qui sont calculées au CSCS, n'ont pas été affectées par l’attaque. Les deux institutions suisses soulignent que les supercalculateurs continuent cependant de fonctionner.

Jusqu'à présent, aucune des institutions attaquées n'a fourni de détails supplémentaires sur les auteurs ou leurs motifs, bien que la CSIRT (European Computer Security Incident Response Team) ait publié des parties du code du malware utilisé pour l'attaque. Selon l’analyse de la société américaine Cado Security citée par ZDnet, les pirates auraient tenté d'installer un logiciel pour miner de la cryptomonnaie Monero.

Webcode
DPF8_179941