ShinyHunters, le groupe de hackers responsable de certaines des plus importantes fuites de donnees de ces dernieres annees, a publie plus de 40 gigaoctets de donnees volees a l'Universite de Nottingham, exposant les informations personnelles d'environ 455 000 etudiants actuels et anciens repartis sur trois campus internationaux. Les donnees volees circulent deja publiquement, ne laissant aux victimes aucun moyen pratique d'en limiter la propagation.
Ce qui a ete vole et qui est concerne
La fuite concerne les etudiants et anciens etudiants des campus de l'Universite de Nottingham au Royaume-Uni, en Malaisie et en Chine. Selon l'analyse des fichiers publies, la violation comprend :
- Documents d'identite : numeros de passeports et copies, donnees de cartes d'identite nationales
- Donnees financieres : numeros de comptes bancaires internationaux (IBAN), historique des paiements
- Donnees personnelles sensibles : origine ethnique, situation de handicap, dossiers medicaux
- Dossiers academiques : donnees d'inscription, notes, dossiers disciplinaires
- Coordonnees : adresses personnelles, numeros de telephone, adresses e-mail
La combinaison de donnees de passeport, de releves financiers et de categories sensibles telles que l'origine ethnique et le handicap cree des risques particulierement graves pour les 455 000 personnes concernees.
Comment la violation s'est produite : la faille zero-day d'Oracle PeopleSoft
L'attaque a exploite CVE-2026-35273, une vulnerabilite critique dans Oracle PeopleSoft avec un score CVSS de 9,8. La faille permettait l'execution de code a distance sans authentification via une simple requete HTTP - sans identifiants, sans acces insider, sans ingenierie sociale. Un attaquant pouvait atteindre le systeme directement depuis Internet et executer des commandes arbitraires avec des privileges au niveau du serveur.
Oracle PeopleSoft est largement utilise dans l'enseignement superieur comme systeme de planification des ressources d'entreprise (ERP) pour gerer exactement le type de donnees exposees ici. Le deploiement de l'Universite de Nottingham couvrait les trois campus, ce qui explique la portee multinationale de la violation. ShinyHunters aurait exploite la vulnerabilite avant qu'un correctif ne soit disponible publiquement.
La campagne de violations croissante de ShinyHunters
La violation de Nottingham est la derniere entree dans ce que les chercheurs en securite appellent la strategie du "dump eternel" de ShinyHunters - un schema consistant a cibler systematiquement des organisations ayant de grandes bases de donnees centralisees et a publier les donnees volees independamment du paiement d'une rancon. Parmi les victimes confirmees : Carnival Corporation (pres de 6 millions de dossiers passagers), Ticketmaster (560 millions de dossiers), Santander Bank et des dizaines d'entreprises via des comptes Snowflake compromis en 2025.
Contrairement aux groupes de ransomware qui chiffrent les donnees et exigent un paiement, ShinyHunters publie les donnees publiquement - parfois sur des forums criminels, parfois librement. Cela rend le prejudice irreversible : une fois les copies de passeports et les numeros IBAN indexes sur le darknet, les victimes ne peuvent pas revenir en arriere.
Reponse de l'universite et notification reglementaire
L'Universite de Nottingham a confirme l'incident et a declare avoir notifie l'Information Commissioner's Office (ICO) du Royaume-Uni et Action Fraud. En vertu du RGPD et de son equivalent britannique, les organisations sont tenues de signaler les violations a l'ICO dans les 72 heures suivant leur detection lorsqu'il existe un risque pour les droits des personnes.
L'universite a declare qu'elle contactait directement les personnes concernees. Cependant, avec 455 000 personnes dans trois pays, le processus de notification prendra du temps - pendant lequel les etudiants et anciens etudiants ignoreront leur exposition specifique.
Pourquoi les reseaux universitaires sont des cibles privilegiees
Les universites sont devenues des cibles privilegiees pour des raisons structurelles. Elles conservent des decennies de donnees sur de nombreux etudiants - y compris des categories sensibles que les institutions financieres protegent generalement plus soigneusement. Les campus internationaux creent une complexite supplementaire : la gouvernance des donnees selon les cadres reglementaires britannique, malaisien et chinois signifie que les normes de securite peuvent ne pas etre appliquees de maniere uniforme.
Pour les etudiants et le personnel qui utilisent des VPN pour acceder a distance aux ressources du reseau universitaire, la violation de Nottingham rappelle que les tunnels chiffres protegent les donnees en transit mais ne peuvent pas compenser les vulnerabilites dans les applications et les bases de donnees a l'autre bout de la connexion.
La suite des evenements
L'ICO peut infliger des amendes allant jusqu'a 4% du chiffre d'affaires annuel mondial pour les violations graves du RGPD. La violation de Nottingham - couvrant des categories speciales de donnees de centaines de milliers de personnes - fera probablement l'objet d'un examen reglementaire.
