9 décembre 2025
Les pirates cherchent toujours à accéder à des informations sensibles pour obtenir une rançon ou les vendre. Ces dernières années, les universités ont été de plus en plus attaquées en raison de leurs bases de données volumineuses et de leurs systèmes généralement plus vulnérables. Les attaques les plus courantes qui compromettent les systèmes des universités sont le phishing, les ransomwares et les attaques par déni de service (DDoS). Le phishing consiste à inciter les utilisateurs à révéler leurs identifiants de connexion, les ransomwares verrouillent les données critiques jusqu’à ce qu’un paiement soit effectué et les attaques DDoS submergent les systèmes pour perturber les services.
Pourquoi les universités devraient-elles prendre des précautions ?
Les universités peuvent être confrontées à des perturbations majeures si leur réseau est compromis par des acteurs malveillants. Il y a eu de nombreux cas où des universités ont dû fermer leurs réseaux pour résoudre le problème, provoquant d’énormes perturbations pour leur personnel et leurs étudiants. Si une université juge nécessaire de fermer son réseau, les conséquences immédiates sont un corps étudiant contrarié, un personnel frustré et, à long terme, cela peut coûter des millions à l’école. Les étudiants s’attendent à ce que leur université respecte les horaires tout au long de l’année, c’est pourquoi une fermeture du réseau peut avoir une mauvaise image de l’université.
Les groupes de ransomware exercent une pression particulière sur les universités, car les attaquants supposent qu’ils recevront un paiement peu de temps après avoir rançonné les données, en raison de la faible tolérance des universités à l’égard des fuites d’informations rendues publiques et des éventuelles longues périodes d’arrêt. De plus, l’école peut faire face à des poursuites judiciaires de la part des étudiants si les informations ne sont pas traitées correctement. C’est pourquoi, souvent, lorsqu’un groupe de ransomware attaque avec succès une université, la rançon semble être payée en quelques jours.
Les universités sont tenues par la loi de conserver en sécurité toutes les informations sensibles telles que les numéros de sécurité sociale, les comptes bancaires et les dossiers de santé. Un exemple de lois qui régissent les universités et la manière dont elles traitent les informations est la FERPA (Family Educational Rights and Privacy Act). Puisqu’il s’agit d’élèves de plus de 18 ans, cette loi garantit que les écoles ne divulguent aucune information sans le consentement de l’élève. C’est pourquoi, lorsque des violations se produisent, les universités ont tendance à faire face à des poursuites judiciaires pour ne pas avoir correctement sécurisé les données de leurs étudiants et/ou anciens élèves. Même lorsque la rançon est payée et n’a pas été divulguée, les étudiants, les anciens élèves ou les professeurs peuvent toujours intenter une action en justice pour négligence.
Cyberattaques récentes contre les universités
Université du Michigan
En août 2023, une violation majeure de données s’est produite à l’Université du Michigan. Environ 230 000 étudiants, anciens élèves et employés ont été touchés par cette violation. Les acteurs malveillants ont volé des comptes financiers, des numéros de sécurité sociale, des détails sur le permis de conduire et des informations sur la santé.
Bien que la vulnérabilité exploitée par les attaquants n’ait jamais été rendue publique, l’université a découvert que les attaquants avaient volé les informations du service de santé et de l’école de médecine dentaire de l’université. Une fois l’attaque détectée par l’Université, celle-ci a immédiatement fermé son réseau. La coupure d’Internet sur les trois campus a finalement duré quatre jours au cours de la première semaine de cours et a interrompu les activités de l’université pendant cette période. L’Université du Michigan a fait face à deux poursuites judiciaires après l’attaque. Tous deux affirment que l’Université a fait preuve de négligence en matière de sécurité des informations. On ne sait pas si cette information a été divulguée ni qui était à l’origine de l’attaque.
Université de Stanford
Une autre cyberattaque survenue en 2023, survenue seulement un mois après la violation de l’Université du Michigan, était la cyberattaque contre l’Université de Stanford. Contrairement au Michigan, cette attaque contre l’Université de Stanford a été revendiquée par un groupe de ransomwares appelé Akira.
Les données recueillies par Akira provenaient du département de la sécurité publique de Stanford. Ils prétendaient disposer de 430 Go de données qui seraient divulguées à moins qu’une rançon ne soit payée. Le groupe a ensuite publié un lien permettant à d’autres de télécharger ces données. Les données qu’ils prétendaient détenir étaient « des informations privées et des documents confidentiels ». Stanford n’a jamais divulgué les informations volées ni s’ils ont payé Akira. Ce que nous savons, c’est que le FBI a conseillé aux entreprises et aux universités de ne pas payer de rançons et de le signaler immédiatement aux forces de l’ordre.
L’image ci-dessous montre Akira annonçant des informations sur la fuite sur son site de fuite, ainsi que le lien de téléchargement qui n’apparaît pas dans l’image ci-dessous.
Les groupes de ransomware rendront les données disponibles si les victimes ne paient pas, ce qui peut conduire à de nouvelles attaques contre les victimes ou contre les organisations de leur chaîne d’approvisionnement, car les informations trouvées dans ces données peuvent être utilisées pour d’autres attaques de phishing ou d’ingénierie sociale.
Figure 1 : Akira annonçant des informations sur la fuite sur son site de fuite ; Source : Vision Illicit Trade FR
Attaque multi-université
Le groupe de ransomwares Cl0p a été responsable d’une série d’attaques contre des universités en mai 2023. Ils ont pu exploiter le logiciel appelé MOVEit, un outil de transfert de fichiers. MOVEit était à l’époque connu pour avoir un niveau de sécurité élevé, notamment parce que de nombreux fichiers déplacés dans le logiciel contenaient des informations sensibles. MOVEit a géré le transfert de fichiers de nombreuses autres organisations, ce qui signifie que cette attaque ne s’est pas limitée aux seules universités.
Certaines des universités qui ont signalé l’attaque comprenaient l’UCLA, Rutgers et le Missouri. Ces universités ont déclaré que les numéros de sécurité sociale des étudiants et des professeurs ainsi que les informations sur leurs comptes financiers étaient publiés en ligne.
Certains analystes estiment que cette attaque ne doit pas être considérée comme une attaque de ransomware puisque les données compromises n’ont jamais été cryptées. Cependant, Cl0p exigeait toujours des paiements de certaines universités pour la restitution des données. Récemment, certains groupes de ransomwares comme Cl0p n’ont pas crypté les données volées et ont plutôt fait pression sur les personnes ou les organisations pour qu’elles paient uniquement sous la menace de divulguer les données en ligne.
Ces attaques ont-elles augmenté ?
Une société appelée Netwrix a interrogé 1 309 professionnels de l’informatique et de la sécurité dans le monde en 2024, révélant que 77 % des organisations du secteur de l’éducation ont signalé une attaque contre leurs systèmes au cours des 12 derniers mois. Ce nombre est en hausse de 8 % par rapport à 2023, ce qui suggère une tendance à la hausse des cyberattaques contre les écoles et les universités.
En 2025, le secteur de l’éducation est devenu la cible numéro 1 des cybercriminels et des groupes de rançon. Plus précisément, DeepStrike a signalé que les deux principales menaces sont le phishing et les ransomwares, tout en expliquant que les écoles et les universités ont généralement une grande vulnérabilité dans leurs systèmes et disposent de grandes quantités de données, deux caractéristiques qui en font des cibles privilégiées.
Protection contre ces attaques
Le moyen le plus simple pour les universités de se protéger contre une attaque est d’avoir des exigences d’authentification strictes. Lorsqu’elle tente d’accéder au réseau, l’université doit exiger une connexion via une carte d’étudiant/une carte d’enseignant – une deuxième couche est l’authentification multifacteur. Cette méthode peut également faciliter le suivi des activités malveillantes en liant l’activité sur le réseau à un identifiant.
Une autre mesure qui peut être négligée concerne les logiciels de sécurité installés sur les ordinateurs des écoles. Ces ordinateurs sont souvent directement connectés au réseau, donc en exploiter un peut donner à un attaquant l’accès à tous. Le principal problème avec la mise à jour de tous les logiciels est que cela prend beaucoup de temps et que la plupart du temps, cela ne peut pas être fait en une seule fois. Un bon moment pour mettre à jour les systèmes serait à l’automne, à Thanksgiving, en hiver ou pendant les vacances de printemps, lorsque ces ordinateurs ne sont pas utilisés.
Enfin, assurez-vous que les professeurs et les étudiants sont au courant des e-mails de phishing. Les humains peuvent être tout aussi vulnérables qu’un ordinateur – assurez-vous de toujours garder vos mots de passe sécurisés et ne téléchargez pas de fichiers suspects.
