Après Grenoble, Sorbonne, etc. une nouvelle alerte touche l’enseignement supérieur français. Un pirate revendique un accès à l’IUT Informatique de l’Université de Lille et diffuse des données internes.Une fuite de données viserait l’Université de Lille, plus précisément l’IUT Informatique, après un précédent épisode mentionné à Grenoble. Le groupe LAPSUS$ GROUP affirme avoir obtenu l’accès à des informations internes et en avoir diffusé 7 244 enregistrements. Les données évoquées permettraient d’identifier directement des personnes, avec des identifiants internes (NIP), des noms, des dates de naissance, des adresses postales, des emails privés et professionnels, ainsi que des numéros de téléphone et d’autres éléments administratifs sensibles. Bienvenu dans le monde des « copy cat ».
Une intrusion revendiquée, des profils immédiatement exploitables
Le scénario se répète, avec une mécanique connue des services de sécurité : une revendication publique, un volume chiffré, puis la promesse implicite que les données circulent déjà. Après l’école de management de Grenoble, le projecteur se déplace vers l’Université de Lille, et plus précisément vers son IUT Informatique. Dans ce dossier, le nom mis en avant est LAPSUS$ GROUP, qui affirme avoir accédé à l’environnement interne et diffusé 7 244 enregistrements. Sauf que Lapsus$ groupe n’existe plus. L’individu caché dans cette petite annonce malveillante a repris le pseudonyme pour renforcer son image.
Le chiffre compte, parce qu’il donne une échelle opérationnelle : 7 244 lignes d’une base de données extraites au mois d’août 2025. L’enjeu ne se limite pas à « des mails qui traînent » : l’exposition mentionnée combine des attributs d’identité et des coordonnées. Les éléments cités incluent un identifiant interne, le NIP, associé à des noms et prénoms, des dates de naissance, des adresses postales, des adresses électroniques personnelles et professionnelles, ainsi que des numéros de téléphone. Des données qui semblent sortir d’une base dédiée aux stages en entreprise.
Ce mélange est précisément celui qui fait basculer une fuite dans la catégorie « actionnable ». Un identifiant interne, lorsqu’il est relié à un état civil et à des canaux de contact, peut devenir une clé de passage pour des démarches, des demandes de support, des échanges avec des services administratifs. Les dates de naissance et les adresses postales, elles, donnent de la crédibilité aux messages frauduleux : elles permettent de fabriquer des relances qui « sonnent vrai », d’imiter le ton d’un secrétariat, ou de préparer une prise de contact en usurpant un contexte réel. Dans une université, l’écosystème est vaste, étudiants, personnels, intervenants, et la promesse d’un message “officiel” est un levier psychologique puissant. Cette année, de nombreux établissements ont été impactés par de faux courriels à destination des élèves réclamant le paiement de scolarité en cours. Déjà, en 2020, de nombreuses écoles d’art étaient visées de la sorte. Juin 2025, Sorbonne université lance une alerte, des pirates sont passés par ses murs numériques. En juillet, l’ESAIP déjoué une autre tentative similaire.
Phishing, usurpation, recoupements : la fuite comme matière première
Les risques mis en avant dessinent une chaîne d’exploitation classique, mais redoutablement efficace. Le premier maillon est le phishing ciblé. Ici, la personnalisation ne relève pas du confort, elle fait grimper les taux de réussite : un email qui mentionne le bon nom, la bonne formation, une date de naissance, ou un identifiant interne a plus de chances d’être accepté comme légitime. L’attaque peut viser des étudiants, mais aussi des personnels, avec des angles différents : mise à jour de dossier, « incident de compte », pièce manquante, régularisation administrative.
Vient ensuite l’usurpation d’identité à visée administrative. Lorsqu’un acteur malveillant dispose d’éléments stables, nom, date de naissance, adresse, téléphone, il peut tenter d’obtenir des informations complémentaires, ou d’initier des démarches qui reposent sur ces repères. Même lorsque les procédures internes exigent des contrôles, la fraude cherche les interstices : un service débordé, une urgence simulée, une demande de réémission, un changement d’adresse, une « réinitialisation » obtenue par ingénierie sociale. Dans les établissements publics, la diversité des interlocuteurs et des circuits de validation peut créer des angles morts.
La fraude personnalisée est le prolongement logique. Une fois le contact établi, l’escroc n’a plus besoin d’un message générique. Il peut citer des informations réelles pour installer la confiance, puis basculer vers une demande d’action : paiement, transmission d’un document, ouverture d’une pièce jointe, saisie d’identifiants. L’objectif n’est pas seulement le vol direct, mais aussi l’accès à d’autres comptes et services, en s’appuyant sur la réutilisation de mots de passe ou sur des processus de récupération.
Le point le plus structurant, du point de vue renseignement, reste l’exploitation croisée. Une fuite n’agit pas seule : elle s’assemble. Les emails et numéros de téléphone deviennent des pivots, les dates de naissance aident à lever les homonymies, les adresses stabilisent un profil. Chaque champ supplémentaire améliore la qualité d’un graphe d’identité. Dans cette logique, les 7 244 enregistrements ne sont pas uniquement un volume, ils constituent une base de corrélation, réutilisable pour d’autres campagnes, y compris longtemps après l’annonce.
Enfin, l’enjeu RGPD est explicitement qualifié d’élevé pour un établissement public. La sensibilité ne vient pas d’un seul champ, mais de la capacité à identifier directement des personnes et à rendre ces informations utilisables. Dans un contexte universitaire, cela signifie aussi un risque réputationnel, une pression sur les équipes, et une urgence de communication, parce que le premier message reçu par les victimes potentielles pourrait ne pas venir de l’établissement, mais des attaquants.
Mais qui est le pirate caché derrière ce pseudonyme récupéré de Lapsus$ ? Serait-ce « IciKevin » qui, au mois d’août 2025, diffusait déjà une autre base de données, cette fois issue de la société ENI ? Cette même base de données a été mise en ligne, elle aussi, par le faux Lapsus$ en ce mois de décembre 2025. Serait-ce aussi le/les pirates QLF/B2H qui mettaient en vente en octobre et novembre 2025 des bases de données baptisée ANTS, Pole emploi, Feu vert, ENI ?
Le pirate de décembre 2025 explique avoir été banni de Telegram et s’être rabattu sur le web, au sein d’un forum pirate, pour vanter ses fichiers pirates diffusés. Sur son site web, il explique : « Nous n’avons pas de message politique particulier. Il nous arrive de cibler des individus précis lorsque nous pensons défendre une cause juste. LAPSUS$ est une organisation guidée par seulement deux principes : la valeur des données et la justice. Vos données et la justice sont nos seules préoccupations. Qu’il s’agisse de les vendre, de les divulguer publiquement ou d’attaquer directement l’infrastructure d’un État génocidaire ou corrompu pour venger des citoyens opprimés, c’est la seule chose qui compte pour nous. » Alors pourquoi l’IUT informatique de Lille ? A-t-il était réfusé ? Renvoyé ? Ou n’est-ce qu’un business pour lui ?
Pour finir, fin juin 2025, l’Espace Culture du Campus Scientifique de Villeneuve d’Ascq était victime d’une exfiltration de données. Informations d’utilisateurs qui se retrouveront en vente dans le darkweb et le web.
merci à ZATAZ
