Team AAZ - Forum

Le 25 juillet 2025, des étudiants de l’Esaip ont reçu un courriel frauduleux exigeant 850 € de paiement sous menace immédiate, révélant une attaque de phishing bien rodée ayant déjà impacté d’autres écoles.

Le 25 juillet 2025, des étudiants de l’Esaip, école d’ingénieurs dès 2021 dotée d’un Bachelor en cybersécurité, ont reçu un courriel usurpant l’identité de l’établissement. Une somme de 850 € était demandée avant le 26 juillet, sous menace de transmission au service contentieux. Bien que le message semblait crédible (IBAN correct, adresse mail institutionnelle), les ressorts psychologiques trahissaient une tentative de manipulation sophistiquée.

Contexte de l’attaque

L’Esaip est une école d’ingénieurs privée accréditée, fondée en 1987 et implantée notamment à Angers, Aix‑en‑Provence, Reims, Dijon, Lyon et Toulouse. Elle propose des formations dans le numérique et la gestion des risques, avec notamment un Bachelor en ingénierie informatique & cybersécurité lancé en 2021.

Le 25 juillet 2025, les étudiants ont reçu un courriel frauduleux les sommant de payer des frais de scolarité de 850 € avant le 26/07/2025, menaçant d’envoi du dossier « au service contentieux » en cas de non‑paiement.

L’école a confirmé à ZATAZ la malveillance. L’escroc est passé via l’adresse électronique d’une étudiante, dont les contacts ont été exploités par un pirate usurpant l’identité de l’établissement. Elle a immédiatement prévenu les étudiants concernés et annoncé la mise en place de la double authentification dès la rentrée pour tous, étudiants inclus (personnel déjà protégé auparavant).

Analyse des ressorts psychologiques employés

Comme ce fût le cas plus d’autres écoles, ZATAZ vous révélait en juin l’attaque vécue par les étudiants de l’Université Dauphine, le pirate use de la même stratégie. Je vous propose de les analyser pour mieux les comprendre, et donc s’en protéger.

Pression temporelle immédiate

L’échéance très rapprochée (courriel du 25 juillet, date limite le 26 juillet) est un mécanisme classique du phishing qui empêche la réflexion, incite à agir sous stress pour éviter de « perdre » ou subir une sanction.

Menace d’escalade administrative

La phrase « transmettre ton dossier au service contentieux » évoque un risque de sanction, litige administratif ou blocage académique. Cela induit la peur et pousse la cible vers une réponse rapide.

Le message du pirate envoyé aux étudiants. – Capture : zataz.com
Double posture : autorité et empathie

Le message combine un ton ferme (« il faut payer ») à des formulations bienveillantes (« nous restons à l’écoute, en toute confidentialité »). Ce contraste rend l’attaque plus subtile, moins l’objet d’une réaction immédiate de refus.

Personnalisation apparente

L’emploi du tutoiement (« tu ») crée une fausse proximité, comme si l’expéditeur connaissait déjà le destinataire. Cela augmente le sentiment de légitimité dans un environnement universitaire.

Promesse de récompense

Le courriel annonce : si le paiement est effectué, l’étudiant recevra ses résultats dans 2 à 3 jours. Cette récompense immédiate renforce encore plus le sentiment d’urgence et de transactionalité.
Indices techniques et comportementaux d’un phishing malveillant

L’IBAN mentionné commence par FR76, respecte la longueur de 27 caractères, ce qui peut sembler authentique à un œil non expert. Cette crédibilité partielle est une technique fréquente pour tromper les cibles. L’escroc propose un IBAN créé chez SFPMEI (Société Financière du Porte-Monnaie Électronique Interbancaire), qui est la maison mère de Sogexia et d’autres services de paiement. C’est une établissement de paiement, et non une banque traditionnelle. A noter que l’on reconnait le code guichet : 00002. Numérotation standard chez ces services digitaux. Ce n’est pas une banque étudiante classique (ex : BNP, CIC, LCL, CMNE, Etc.). Cela suggère l’usage d’un compte ouvert facilement en ligne, souvent utilisé pour recevoir des virements rapidement et parfois anonymement (dans certaines limites légales).

Même méthode ! Même pirate ?

Le mail était signé depuis une adresse de l’école. Crédible, donc. Le compte mail d’une étudiante a permis l’usurpation. Le pirate a infiltré le compte d’une étudiante et utilisé son carnet d’adresses pour lancer l’attaque. Une automatisation via des scripts permet d’envoyer rapidement des milliers de messages ciblés.

Le niveau de 850 € réclamé est le même que celui observé dès juin 2025 dans l’attaque visant les étudiants de l’Université Dauphine. Cela suggère l’utilisation d’un même script ou opérateur malveillant, répliquant une méthode éprouvée. Heureusement qu’il ne réfléchit pas plus loin que le bout de son script. Cette attaque aurait pu être plus gênante, en période de vacances des services administratifs de l’école.

Réaction transparente de l’école

L’établissement a réagi le jour même en alertant tous les étudiants, ce qui indique une bonne posture de gestion de crise. La décision d’imposer la double authentification dès la rentrée, qui était déjà en vigueur pour le personnel, traduit une stratégie de durcissement cyber proactif.

Bref, cette attaque du 25 juillet 2025 contre les étudiants de l’Esaip démontre un phishing bien conçu : urgent, menaçant, personnalisé et crédible. Pourtant, plusieurs signaux d’alerte techniques et comportementaux permettent de dévoiler sa nature malveillante. La réaction efficace de l’école, avec alerte immédiate et renforcement de la sécurité via la double authentification, illustre une bonne gouvernance cyber. Il s’agit encore d’un cas d’école de cyberattaque d’ingénierie sociale, pertinent à analyser dans un contexte éducatif centré sur le numérique et la gestion des risques.

merci à ZATAZ