L'attaque est intervenue via le serveur de messagerie RPN, a déclaré jeudi Hugo Sobrino, responsable de la sécurité des systèmes d'information (RSSI) du canton. Au total, 25'000 à 30'000 utilisateurs, soit des enseignants, des élèves de l'école obligatoire et des étudiants du secondaire 2, sont concernés.
Les adresses courriels ont été bloquées. Les mots de passe doivent être réactualisés à l'interne. "Les accès externes sont encore bloqués", a expliqué Daniel Crevoisier, chef du Service informatique de l'Etat de Neuchâtel (SIEN).
Les services de l'enseignement obligatoire et post-obligatoire ont été informés mercredi dans la soirée de l'attaque, afin que les enseignants aient l'information à leur arrivée jeudi matin. "Ils ont assez de ressources pour faire des leçons un ou deux jours sans se connecter", a déclaré Crystel Graf, conseillère d'Etat en charge de la formation et de la numérisation.
Surveillance active
Le SIEN était en alerte depuis le début de la semaine car un logiciel malveillant avait été détecté. Des premières mesures de nettoyage et des analyses ont été effectuées. Une surveillance active a été opérée.
Un plan d'action a été élaboré pour une coupure coordonnée sans alerter l'attaquant. Des sauvegardes ont été effectuées. Comme les tentatives d'attaque se sont intensifiées mercredi, le service a décidé de passer à l'action.
Les pirates, qui étaient en phase de reconnaissance, n'ont pas été alertés par les manoeuvres et n'ont donc pas pu déposer un logiciel de demande de rançon, a expliqué Hugo Sobrino. Depuis mercredi soir, il n'y a pas eu de nouvelles attaques. "La situation est en train de revenir à la normale".
Le responsable de la sécurité n'a pas voulu s'exprimer sur la provenance des pirates. "On limite l'accès à nos serveurs à certains pays, mais cela peut quand même être contourné", a-t-il ajouté. Apparemment il n'y a pas eu de fuite de données.
Interrogée sur la multiplication des cyberattaques dans le canton depuis le début de l'année (Université, Haute Ecole Arc, cabinets médicaux et RPN déjà en mars), Crystel Graf a expliqué que quand des pirates découvrent des failles, ils essaient d'autres cibles potentielles dans la même zone. Ils réutilisent aussi parfois des données (mails par exemple), obtenues lors d'une précédente attaque en usurpant l'identité.
Le canton est en train de mettre en place de nouvelles procédures, avec la double authentification notamment, pour augmenter la sécurité. Il est en train d'établir une politique de données pour maîtriser leur typologie, leur niveau de confidentialité et leurs flux, a déclaré Martine Margairaz, déléguée à la numérisation. La sensibilisation auprès des utilisateurs va être aussi renforcée.