Les pirates ont profité de la trêve des confiseurs pour s’attaquer au secteur de l’enseignement supérieur français. Alors que l’année 2025 touche à sa fin, l’Université de Lille et Grenoble École de Management ont vu les noms de leurs établissements apparaître sur BreachForums. Voici ce que l’on sait.
Cyberattaque : Grenoble École de Management
Commençons par évoquer la première alerte détectée le 29 décembre 2025 sur BreachForums. Un cybercriminel qui se présente sous le pseudo “CZX” affirme avoir infiltré les systèmes de Grenoble École de Management (GEM) en novembre dernier. Cette école accueille environ 7 000 étudiants, ce qui est loin d’être neutre.
Néanmoins, le message du pirate laisse entendre qu’il a eu accès à un bel historique de données : il affirme disposer d’informations sur plus de 400 000 personnes, regroupées dans une archive de 1,35 Go.
D’après le site Cybernews qui a procédé à une analyse des données, les données correspondraient à une liste de diffusion issue d’un système CRM ou d’un logiciel de marketing. Les fichiers contiennent des informations sur des abonnés à des newsletters et des prospects externes.
Pour autant, il y a quand même beaucoup d’informations différentes dans cette base de données :
Noms et prénoms
Adresses e-mail
Numéros de téléphone
Adresses postales
Parcours académiques et informations professionnelles
Statuts de participation à des événements
Segmentation interne et préférences d’abonnement (opt-in/opt-out)
Adresses IP
Comme d’habitude, ces informations sont précieuses pour mettre en place des campagnes de phishing ciblées.
De son côté, l’organisation Grenoble Ecole de Management s’est exprimée à ce sujet sur son site officiel. L’intrusion est confirmée : “À ce stade, les éléments analysés concernent des données personnelles limitées de nos communautés, telles que des informations d’identification et de contact. Aucune information sensible, de type mot de passe ou donnée bancaire, n’a été compromise.”
Cyberattaque : l’Université de Lille
Le même jour, un autre message a été publié sur BreachForums afin d’évoquer un vol de données à l’Université de Lille, un établissement avec plus de 80 000 étudiants. Cette fois, c’est un groupe tristement célèbre qui a revendiqué l’attaque : le groupe LAPSUS$, soit désormais Scattered LAPSUS$ Hunters (puisqu’il y a eu un regroupement de 3 groupes en 2025).
Ces derniers mois, et je dirais même ces dernières années, le groupe de pirates LAPSUS$ a été associé à de nombreuses cyberattaques, y compris contre des acteurs majeurs (Okta, Microsoft, Nvidia, etc.).
Dans le cas présent, l’échantillon de données publié affecterait près de 2 000 étudiants. Là encore, il y a de nombreuses informations personnelles avec un risque accru pour l’usurpation d’identité à cause de la fuite de la date de naissance :
Identifiants internes (NIP)
Noms
Dates de naissance
Adresses postales
E-mails personnels et professionnels
Numéros de téléphone
Données administratives
À l’heure où cet article est écrit, l’Université de Lille ne s’est pas exprimée au sujet de cette potentielle fuite de données.
Ces dernières semaines, les intrusions s’enchaînent en France : Agence Spatiale Européenne (ESA), Ministère de l’intérieur, de nombreuses fédérations sportives comme la FFF et j’en passe.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.