Commission européenne hackée via Trivy : 30 entités UE

Ce qui s'est passé

Le 3 avril 2026, le CERT-EU a officiellement attribué la cyberattaque contre la Commission européenne au groupe de hackers TeamPCP. L'attaque remonte au 19 mars, lorsque les attaquants ont obtenu une clé API secrète associée au compte AWS de la Commission. Cette compromission fait suite à une attaque antérieure ciblant l'outil de sécurité open source Trivy, dont la Commission avait involontairement téléchargé une copie piégée après la compromission du projet. Les techniques de compromission de Trivy via la supply chain avaient déjà été documentées par la communauté cybersécurité.

Grâce à la clé AWS volée, l'acteur malveillant a exfiltré des dizaines de milliers de fichiers contenant des informations personnelles, des noms d'utilisateur, des adresses e-mail et du contenu de courriels. La brèche affecte potentiellement 42 clients internes de la Commission européenne et au moins 29 autres entités de l'Union utilisant le service d'hébergement web europa.eu. L'ampleur de cette attaque en fait l'un des incidents les plus significatifs ayant touché les institutions européennes.

Le 28 mars, le groupe d'extorsion ShinyHunters, déjà connu pour ses attaques massives contre des entreprises, a publié les données volées sur son site de fuite du dark web sous la forme d'une archive de 90 Go (environ 340 Go décompressés). TeamPCP, au-delà de cette attaque, est lié à des campagnes de ransomware, de cryptominage et à une série systématique d'attaques supply chain compromettant des projets open source de sécurité.

Pourquoi c'est important

Cette attaque illustre de manière spectaculaire les risques liés à la supply chain logicielle. Un outil de sécurité open source, censé protéger les infrastructures, a servi de vecteur d'intrusion contre l'une des institutions les plus importantes d'Europe. Le scénario rappelle l'attaque SolarWinds de 2020, mais cette fois dans l'écosystème open source. Les organisations qui intègrent des outils open source dans leur pipeline de sécurité doivent impérativement vérifier l'intégrité des binaires téléchargés via des mécanismes comme SBOM et SLSA.

La publication des données par ShinyHunters ajoute une dimension d'extorsion à ce qui était déjà un incident d'espionnage majeur. Les 340 Go de données exposées contiennent potentiellement des communications diplomatiques sensibles, des informations stratégiques sur les politiques européennes et des données personnelles de milliers de fonctionnaires. Les récentes attaques GlassWorm contre les extensions VSCode confirment que la supply chain logicielle reste un angle d'attaque privilégié en 2026.

Ce qu'il faut retenir

• Les outils de sécurité open source ne sont pas à l'abri de la compromission : vérifiez systématiquement les signatures et les hashes des binaires téléchargés avant déploiement.
• La gestion des clés API cloud (AWS, Azure, GCP) doit inclure la rotation automatique et la détection d'anomalies d'utilisation, selon les principes de l'architecture Zero Trust.
• Les entreprises européennes doivent évaluer leur exposition aux services hébergés sur europa.eu et vérifier si leurs données figurent dans la fuite publiée par ShinyHunters.