Un étudiant de l’IUT d’Angers ouvre son ENT depuis le wifi d’un fast-food pour vérifier une note, valide la connexion sans regarder l’URL, et referme l’onglet. Trois semaines plus tard, son compte Zimbra envoie des spams à toute sa promo. Ce scénario n’a rien d’exceptionnel : l’ENT IUT Angers concentre des données personnelles, des documents administratifs et des accès pédagogiques qui attirent les tentatives de phishing et les extractions frauduleuses.
Piratage à l’Université d’Angers : ce que la fuite de données change pour les étudiants de l’IUT
L’Université d’Angers a été visée par une extraction frauduleuse de données touchant près de 130 000 dossiers, selon France 3 Pays de la Loire. Les étudiants de l’IUT, rattachés au même système d’information, font partie du périmètre concerné.
A lire aussi : Comment sécuriser son compte ent sigma et protéger ses données personnelles ?
Concrètement, cela signifie que des informations liées à votre identité, à votre cursus ou à vos coordonnées ont pu être aspirées. On ne parle pas d’un risque théorique : une plainte a été déposée par l’université et les recommandations post-incident sont claires.
Après ce type de fuite, les tentatives de phishing ciblé explosent. Des mails imitant la direction de l’IUT ou le service scolarité circulent, souvent avec un lien vers une fausse page de connexion ENT. Le piège fonctionne parce que l’expéditeur utilise votre nom, votre filière, parfois votre numéro étudiant, des données récupérées lors de l’extraction.
A voir aussi : Maformationbrico certification prix : comment éviter les mauvaises surprises financières ?

Mot de passe ENT IUT Angers : les erreurs qui facilitent une compromission
La page d’accueil de l’ENT affiche régulièrement un message « Your password is too old ». On le ferme machinalement, on remet le changement à plus tard. Ce réflexe est le premier maillon faible.
Un mot de passe ancien, réutilisé sur d’autres services (Netflix, comptes de jeux, boîtes mail personnelles), devient une porte d’entrée dès qu’une base tierce fuite. Les attaquants testent automatiquement les couples identifiant/mot de passe sur les portails universitaires.
Ce qui protège réellement un compte ENT
- Changer le mot de passe dès l’alerte de l’ENT, sans attendre la fin du semestre. Un mot de passe de plus de douze caractères, mêlant majuscules, chiffres et caractères spéciaux, réduit drastiquement le risque de forçage
- Activer l’authentification à deux facteurs dès que l’option est proposée par l’université. Ce second verrou bloque la connexion même si le mot de passe a fuité
- Ne jamais se connecter à l’ENT via un lien reçu par mail ou SMS. Toujours taper l’adresse ent.univ-angers.fr directement dans le navigateur
- Vérifier la présence du cadenas HTTPS avant de saisir ses identifiants, surtout sur un réseau wifi public (BU, cafétéria, transports)
Les retours varient sur la disponibilité effective du double facteur selon les composantes de l’université, mais le principe reste le même : chaque couche de vérification supplémentaire complique le travail d’un attaquant.
Données conservées sur l’ENT après la fin de la formation : ce que prévoit le RGPD
On pense souvent qu’une fois le diplôme en poche, nos données disparaissent des serveurs. La réalité est différente. Selon les recommandations de la CNIL pour les organismes de formation, les données liées à la gestion de la formation peuvent être conservées jusqu’à cinq ans après la fin du cursus.
Inscriptions pédagogiques, feuilles d’émargement en formation continue, relevés de notes : tout cela reste stocké. Les données liées aux certifications et diplômes peuvent même être gardées plus longtemps, notamment pour permettre la validation des acquis de l’expérience (VAE).
Ce que cela implique pour un ancien étudiant de l’IUT
Même après votre départ, un incident de sécurité sur l’infrastructure de l’université peut exposer vos données. Vous conservez un droit d’accès et de rectification auprès du délégué à la protection des données de l’Université d’Angers. Si vous avez quitté l’IUT depuis plusieurs années, demander la suppression des données non obligatoires reste possible via une requête écrite au DPO.
Ce droit est peu exercé. La plupart des anciens étudiants ignorent que leurs informations sont encore présentes dans le système d’information, ce qui les rend vulnérables sans qu’ils le sachent.

Phishing ciblé après une fuite : reconnaître les mails frauduleux liés à l’ENT Angers
Les campagnes de phishing post-fuite ne ressemblent pas aux arnaques grossières habituelles. Les messages sont personnalisés et reprennent le vocabulaire administratif de l’université : « réinscription pédagogique », « certificat de scolarité à télécharger », « mise à jour Sésame obligatoire ».
Le mécanisme est toujours le même : un lien mène vers une copie de la page de connexion ENT. La victime saisit ses identifiants, qui sont aussitôt récupérés. En quelques minutes, l’attaquant accède à la messagerie Zimbra, aux documents administratifs et parfois aux outils Moodle.
Réflexes concrets face à un mail suspect
- Vérifier l’adresse d’expédition complète (pas seulement le nom affiché). Les mails légitimes de l’université proviennent du domaine @univ-angers.fr, jamais d’un domaine approchant comme @univ-angers-fr.com
- Ne jamais ouvrir une pièce jointe inattendue, même au format PDF. Conserver les preuves (captures d’écran, en-têtes du mail) avant de signaler au service informatique
- En cas de doute, se connecter à l’ENT par ses propres moyens (favori ou saisie manuelle de l’URL) pour vérifier si une notification officielle existe
Signaler un mail suspect au service informatique de l’IUT permet de protéger toute la communauté. Un seul signalement peut déclencher un blocage du domaine frauduleux à l’échelle de l’université.
Connexion depuis un smartphone : les précautions spécifiques pour l’ENT IUT Angers
Sur ordinateur, on vérifie machinalement la barre d’adresse. Sur mobile, l’URL est tronquée, le cadenas moins visible, et on bascule souvent entre réseau mobile et wifi sans y prêter attention.
Se connecter à l’ENT depuis un smartphone sur un wifi ouvert multiplie les risques d’interception. Le navigateur du téléphone enregistre parfois les identifiants sans demander confirmation, ce qui pose problème en cas de vol ou de perte de l’appareil.
Deux précautions font la différence : désactiver l’enregistrement automatique des mots de passe pour le site de l’ENT, et verrouiller le téléphone avec un code ou une empreinte biométrique. Si vous utilisez un gestionnaire de mots de passe, celui-ci vérifiera automatiquement que l’URL correspond bien au site légitime avant de remplir les champs.
La sécurité sur l’ENT IUT Angers ne repose pas sur un outil unique ou un réglage magique. C’est la combinaison d’un mot de passe solide, d’un second facteur d’authentification et d’une vigilance sur les mails qui limite réellement l’exposition. Les étudiants actuels comme les anciens ont intérêt à vérifier ce que l’université conserve et à exercer leurs droits si nécessaire.

