Fuite massive à Sorbonne Université : données bancaires, contrats et numéros de sécu dans la nature ?

Une cyberattaque visant Sorbonne Université aurait compromis les données sensibles de plus de 32 000 agents. Identités, salaires, RIB et documents personnels figureraient parmi les informations dérobées par le pirate.

C’est une attaque comme les universités en redoutent : silencieuse, précise, et lourde de conséquences. En juin 2025, Sorbonne Université a été la cible d’une nouvelle cyberattaque ayant exploité une faille de son système d’information (SI). Résultat : plus de 32 000 comptes auraient été exposés, dont des informations aussi sensibles que les numéros de sécurité sociale, les bulletins de salaire, les RIB, voire les justificatifs d’embauche. C’est du moins ce qu’indique un document interne consulté par ZATAZ. La base compromise ne se limite pas aux employés actuels : elle inclurait également d’anciens salariés. Face à cette brèche d’une ampleur inédite, l’établissement a mis en place un numéro vert et une FAQ via l’Intranet… mais les données, elles, sont bel et bien parties.

Une faille exploitée dans le système d’information

La vulnérabilité exploitée a permis aux cybercriminels d’infiltrer les outils de gestion des ressources humaines et de paie (SIRH). Selon le communiqué officiel publié le 6 juin 2025 sur le site de la sorbonne : « Dans un contexte général où de nombreuses institutions font l’objet d’attaques informatiques, Sorbonne Université a été victime d’une cyberattaque. Son système d’information connaît de fortes perturbations en raison de la détection d’un incident de sécurité qui a endommagé différents outils numériques sans pour autant empêcher la continuité de service. Pour faire face à cette situation, des mesures correctives ont été mises en place pour renforcer les dispositifs de sécurité. » C’est la société de cybersécurité qui se charge de l’après attaque. Le numéro vert mis en place pour les employés a pour mission de rassurer. « Les pirates ont copié les informations RH » confirme notre interlocuteur au téléphone.

Des adresses mails professionnelles, des coordonnées bancaires, des numéros de sécurité sociale et des éléments liés à la rémunération ont été compromis. Environ 32 000 comptes sont concernés, y compris ceux d’anciens salariés, dont les données étaient toujours archivées. Selon le document consulté par ZATAZ, des données critiques qu’un pirate a pu voler : Identité complète : noms, prénoms, numéros de sécurité sociale ; Coordonnées : adresses postales, numéros de téléphone, mails ; Informations contractuelles : type de contrat, statut d’emploi, arrêts maladie ; Rémunération : bulletins de paie ; Données bancaires : RIB, IBAN ; Justificatifs : attestations de domicile, certificats bancaires, documents d’embauche ; Courriels internes : contenus liés à 564 comptes, potentiellement sensibles.

Bref, ce volume de données constitue un véritable catalogue d’usurpation d’identité, phishing ciblé, fraudes bancaires, voire ventes sur les marchés noirs.

Déjà trois attaques en 8 mois.

Ce n’est malheureusement pas la première cyber attaque pour la Sorbonne. Une prestigieuse cible pour les pirates. Mai 2023, ZATAZ vous révèle l’attaque contre la bibliothèque de l’école. Mars 2023, Anonymous Soudanais lance des DDoS contre des écoles, dont la Sorbonne. Janvier 2023, on repère l’enregistrement de noms de domaine louche. Mai 2022, je mets la main sur une liste de courriels et données visant des dizaines d’écoles, dont la Sorbonne. Il y a 11 ans, mars 2014, des pirates s’attaquaient à de nombreux sites, dont un domaine de la Sorbonne aujourd’hui fermé. En mars 2025, LeMagIt expliquait les revendications des pirates de FunkSec et le vol de fichiers internes.

Un impact qui dépasse l’université

Ce type d’attaque illustre la vulnérabilité des établissements universitaires, prisés pour la richesse et la sensibilité des données qu’ils collectent. En 2021, l’Université de Versailles avait déjà subi un ransomware, et en 2022, une université néerlandaise avait versé 200 000 € en Bitcoin pour restaurer ses systèmes. Ici, la différence majeure réside dans la variété et la précision des données volées, ainsi que l’absence de détails sur les auteurs de l’attaque. Il n’y aurait pas eu de revendication.

Sorbonne Université a déployé un numéro vert dédié et une FAQ pour informer les agents

Chaque agent ou ancien agent de la Sorbonne devrait changer immédiatement tous ses mots de passe (mails, banques…). Contacter sa banque pour signaler un risque potentiel de fraude. Activer une alerte d’usurpation d’identité via France Identité, Perceval… Le Service de Veille de ZATAZ peut vous permettre d’être alerter concernant toutes données diffusées dans le dark web ou web malveillants. Surveiller ses mails pour détecter tentatives de phishing (spear‑phishing) et surtout, déposer plainte auprès des autorités en cas de fraude ou utilisation abusive.

Pourquoi les universités, comme la Sorbonne ?

Les universités comme la Sorbonne constituent des cibles attractives pour plusieurs catégories de pirates, y compris des groupes politiques ou « contrôlés » par des États, pour des raisons variées et interconnectées. ZATAZ vous a fait une liste (non exhaustive) des quatre premières raisons de viser des établissements universitaires et grandes écoles.

Recherche scientifique et données stratégiques

Les universités hébergent des recherches de pointe sur des sujets stratégiques (intelligence artificielle, santé, technologies militaires…). Ces données représentent un intérêt majeur pour des États souhaitant renforcer leur avance technologique ou militaire. L’exemple de l’Iran (2013–2018) démontre l’enjeu : percer des universités occidentales pour dérober des données sensibles. Je passe mon temps, en tant qu’intervenant dans de nombreux établissements, à expliquer aux élèves de protéger, par exemple, leurs rapports de stages, Etc.

Fraude financière et vol de données personnelles

Les établissements supérieurs stockent des informations massives et variées : RIB, données personnelles, bulletins de salaire… Ces informations sont facilement commercialisables : identités volées, faux prêts ou phishing ciblé en découlent .

Cybersabotage et influence géopolitique

Des groupes comme APT28 (alias Fancy Bear), affiliés au GRU russe, visent aussi des institutions académiques dans le cadre d’opérations d’espionnage, de manipulation politique ou de saisie d’informations stratégiques. En France, ANSSI et les autorités ont souligné que des universités françaises faisaient l’objet d’actions ciblées depuis 2021. Au-delà des États, des groupes russophones ou pro-russes (NoName057(16), Anonymous Sudan, Killnet) peuvent viser des cibles universitaires pour des motifs variés : soutien à la Russie, déstabilisation, visibilité médiatique, souvent via des attaques DDoS ou leaks de données. D’autres pirates, comme Stormous, n’hésitent pas à acheter des données à d’autres hackers, afin de s’approprier le contenu et lancer des communication « guerrière ».

Faiblesses structurelles

Les universités souffrent souvent d’une sécurité moins rigoureuse que les secteurs critiques : absence de politique MFA, segmentation insuffisante, budgets IT limités. Elles représentent ainsi une proie plus facile pour des attaques de ransomware, exfiltration de données ou DDoS.