Enseignement supérieur : FunkSec s’attaque à des comptes d’accès distant isolés

L’enseignement supérieur est-il en train de redécouvrir la menace des infostealers, celle-là même qui l’avait marqué fin 2021 et 2022 ? Deux revendications de cyberattaque le laissent à craindre.

L’enseigne FunkSec vient ainsi de revendiquer une attaque contre Sorbonne Université puis une seconde contre l’Université de Rennes. Des captures d’écran sont fournies dans les deux cas, pour attester de la réalité des allégations.

Pour Sorbonne Université, les captures suggèrent la compromission d’un compte utilisateur permettant d’accéder à distance à des ressources internes, au travers d’un navigateur Web, via une Citrix Gateway. Les assaillants disent avoir dérobé 20 Go de données. 

Selon le service de communication de l’université, il y a bien eu un « incident », « à portée limitée », concernant Polytech Sorbonne. 

Pour l’Université de Rennes, la situation ne semble guère différente. Les assaillants disent disposer de 50 Go de données et présentent des captures d’écran qui, encore une fois, mettent en évidence un accès distant à des ressources internes – serveur SSH, instance GitLab, instance PHPMyAdmin, etc. – au travers d’un navigateur Web. Là, pas de Citrix Gateway, mais un VPN-SSL signé Fortinet, utilisé par l’ISTIC.

Dans un communiqué de presse, l’université de Rennes fait également état d’un « incident à la portée limitée », tout en indiquant que « le réseau reste fonctionnel et les équipes techniques sont pleinement mobilisées ».

L’enseigne FunkSec a ouvert son site vitrine début décembre 2024. Elle a revendiqué près de 170 victimes à travers le monde, à l’heure où sont publiées ces lignes.

Ses premières revendications concernaient majoritairement des sites Web et des bases de données, avant l’annonce d’un rançongiciel développé avec l’aide de l’intelligence artificielle générative. Un échantillon de ce dernier a été téléversé sur VirusTotal début janvier 2025, depuis l’Algérie. Du code source, en Rust, avait été téléversé au même endroit, depuis le même pays, mi-décembre 2024.

Les équipes de Check Point ont établi un lien avec le groupe hacktiviste Ghost Algéria et estiment que le ransomware a été développé par un « auteur de maliciel inexpérimenté ». L’un des principaux opérateurs de FunkSec, connu sous les pseudonymes Scorpion, et DesertStorm, se revendique du mouvement « Free Palestine ». Le 19 janvier, FunkSec a annoncé s’allier au groupe hacktiviste FSociety. 

L’hacktiviste indonésien Bjorka a, un temps, revendiqué officier sous la bannière, avant d’affirmer relancer l’enseigne Babuk.

Pour la cellule de cybersécurité du New Jersey, aux États-Unis, FunkSec utilisait, en décembre, « des jeux de données recyclés, provenant de piratages antérieurs » et « consiste vraisemblablement en des pirates inexpérimentés en quête de reconnaissance ».

La version la plus récente connue du ransomware de FunkSec, la 2.0, met en œuvre, selon Hybrid Analysis, des « mécanismes de défense agressifs », dont « la détection anti-VM et l’arrêt des processus, ce qui permet de désactiver efficacement l’accès des utilisateurs ».

À cela s’ajoute « la désactivation immédiate des fonctions de sécurité de Windows et des capacités de journalisation », « la mise en œuvre d’un accès persistant par le biais de tâches planifiées et d’un chiffrement XChaCha20 pour la compromission des fichiers ».

Il n’est pas établi que les affidés de FunkSec déploient systématiquement son rançongiciel à chaque attaque ni qu’ils cherchent tous une atteinte étendue au système d’information de leurs victimes. Scorpion a ouvertement affiché son intérêt pour les accès initiaux de type accès distant, à base de VPN SSL Fortinet et Cisco, ou encore RDP.