En bref

  • CVE-2026-35273 : authentification manquante (CWE-306) CVSS 9.8 dans Oracle PeopleSoft PeopleTools 8.61 et 8.62 — exploitation zero-day confirmée depuis le 27 mai 2026
  • ShinyHunters a compromis plus de 100 organisations pendant les 14 jours séparant le début de l'exploitation de la publication du patch Oracle le 10 juin 2026
  • Patch Oracle disponible depuis le 10 juin 2026 — toute instance non corrigée accessible en réseau est exposée à une prise de contrôle totale sans aucune authentification

Les faits

Le 10 juin 2026, Oracle a publié une alerte de sécurité d'urgence hors cycle pour CVE-2026-35273, une vulnérabilité critique affectant le composant Updates Environment Management Hub (EMHub) de PeopleSoft Enterprise PeopleTools dans ses versions 8.61 et 8.62. La faille est catégorisée CWE-306 (Missing Authentication for Critical Function) : un endpoint de gestion critique du système est accessible sans aucune authentification depuis le réseau. N'importe quel attaquant disposant d'une connectivité réseau vers l'instance PeopleSoft peut interagir avec cet endpoint sans présenter le moindre credential.

Le score CVSS v3.1 est de 9.8, le seuil critique maximal pratique pour une vulnérabilité exploitable à distance : vecteur réseau (AV:N), aucune complexité d'attaque (AC:L), aucun privilège requis (PR:N), aucune interaction utilisateur (UI:N), impact total sur la confidentialité, l'intégrité et la disponibilité (C:H/I:H/A:H). En termes opérationnels : un attaquant peut exploiter cette vulnérabilité depuis Internet, sans compte, sans outil spécialisé, sans connaissance préalable de l'environnement cible, et obtenir l'exécution de code arbitraire en tant que serveur d'application PeopleSoft. Rapid7, qui a analysé la vulnérabilité le jour même de la publication du patch, a confirmé avoir reproduit l'exploitation en quelques heures à partir de la seule description publique.

Ce qui distingue CVE-2026-35273 d'une vulnérabilité critique ordinaire est sa nature de zero-day avec une fenêtre d'exploitation documentée avec précision. Mandiant a établi que l'exploitation active a débuté le 27 mai 2026 — soit 14 jours avant la publication de l'advisory Oracle et du correctif. Pendant ces deux semaines, aucun patch n'était disponible. La seule protection possible était la restriction d'accès réseau à l'interface EMHub par règles de pare-feu, une mesure de durcissement que très peu d'organisations avaient appliquée par défaut sur un composant PeopleSoft considéré comme interne. Oracle n'a pas communiqué publiquement sur l'existence de la vulnérabilité avant la publication de son patch, conformément à sa politique habituelle de disclosure coordonnée.

ShinyHunters, le groupe à l'origine de cette vague d'exploitation, est un acteur de menace financièrement motivé dont le bilan opérationnel est considérable : compromission de Snowflake en 2024 entraînant l'exfiltration de données de 165 clients (dont Ticketmaster avec 560 millions de dossiers et Santander Bank), multiples intrusions dans des environnements cloud mal sécurisés. Leur ciblage de CVE-2026-35273 correspond à leur modus operandi habituel : identifier rapidement des vulnérabilités à fort impact dans des systèmes d'entreprise contenant des données à haute valeur marchande, et exploiter massivement avant que les organisations aient le temps de patcher.

Arctic Wolf, qui a publié une analyse détaillée de la campagne ShinyHunters sur PeopleSoft, indique que le groupe a ciblé prioritairement quatre secteurs : les universités et établissements d'enseignement supérieur (PeopleSoft est dominant dans ce secteur en Amérique du Nord et en Europe), les hôpitaux et systèmes de santé, les agences gouvernementales fédérales et régionales, et les groupes industriels. Ces organisations maintiennent des instances PeopleSoft on-premises pour la gestion RH, financière et administrative, contenant des données particulièrement sensibles : fiches de paie, données personnelles des employés et étudiants (incluant numéros de sécurité sociale), informations financières et contrats.

La CISA a émis une alerte d'urgence dès le 10 juin 2026, demandant aux agences fédérales américaines d'appliquer le patch Oracle ou de restreindre l'accès réseau à EMHub dans les sept jours. La NSA a également émis un bulletin technique spécifique à CVE-2026-35273, indiquant que des acteurs étatiques avaient tenté d'exploiter la vulnérabilité pendant la fenêtre zero-day, en parallèle des opérations de ShinyHunters. En France, le CERT-FR a relayé l'advisory Oracle le 10 juin 2026. La DGSI a par ailleurs signalé dans ses alertes internes que plusieurs instances PeopleSoft d'établissements d'enseignement supérieur français avaient fait l'objet de tentatives d'accès non autorisées pendant la période zero-day.

L'analyse de l'exposition mondiale réalisée par BinaryEdge et Shodan au moment de la publication du patch indique que plusieurs centaines d'instances PeopleSoft étaient accessibles depuis Internet avec l'interface EMHub exposée, dans des pays incluant la France, l'Allemagne, le Royaume-Uni et les États-Unis. À la date du 8 juillet 2026, des instances non corrigées restaient encore accessibles depuis Internet — signe que le cycle de patching PeopleSoft, réputé complexe en raison des dépendances applicatives et des exigences de test, n'a pas permis à toutes les organisations concernées de corriger dans les délais recommandés.

Le contexte de découverte de CVE-2026-35273 illustre aussi les limites du processus CPU (Critical Patch Update) trimestriel d'Oracle. Lorsqu'une vulnérabilité est activement exploitée comme zero-day, un processus trimestriel est structurellement inadapté à la vitesse d'action des attaquants. Plusieurs chercheurs en sécurité ont plaidé pour qu'Oracle adopte un mécanisme de patch d'urgence hors cycle systématique dès confirmation d'une exploitation active — comme le font Microsoft (Patch Tuesday + advisories hors cycle) ou Fortinet (PSIRT). Oracle a jusqu'ici maintenu sa politique de disclosure coordonnée trimestrielle, en argumentant que la publication précoce d'informations amplifie le risque d'exploitation opportuniste.

Impact et exposition

Toutes les instances Oracle PeopleSoft Enterprise PeopleTools 8.61 et 8.62 accessibles en réseau sans le patch du 10 juin 2026 sont exposées à une compromission totale sans authentification. En France et en Europe, les secteurs les plus exposés incluent les universités et grandes écoles, les établissements hospitaliers (CHU, CH régionaux), les administrations publiques nationales et régionales, et les grandes entreprises industrielles utilisant PeopleSoft pour la gestion RH. Les données à risque couvrent l'ensemble des informations personnelles et financières gérées par PeopleSoft — potentiellement des dizaines à centaines de milliers de dossiers par organisation, avec des obligations de notification RGPD en cas de compromission avérée.

Recommandations

  • Appliquer immédiatement le patch Oracle du 10 juin 2026 pour PeopleTools 8.61 et 8.62 via le portail My Oracle Support. En cas d'impossibilité technique immédiate, restreindre l'accès réseau à l'endpoint EMHub par règle de pare-feu (whitelist des seules IP d'administration autorisées).
  • Auditer les logs d'accès à l'interface EMHub depuis le 27 mai 2026 pour détecter des accès non autorisés, des requêtes depuis des IP non répertoriées, ou des tentatives d'exécution de code — Arctic Wolf a publié des requêtes de threat hunting spécifiques à cette campagne.
  • Vérifier l'absence de comptes utilisateurs ou administrateurs PeopleSoft créés sans autorisation, de modifications de configuration applicative ou de base de données Oracle, et de transferts de données anormaux depuis les serveurs PeopleSoft depuis la période d'exposition présumée.
  • Engager une analyse forensique si des signaux d'accès suspect sont identifiés — ShinyHunters procède à une exfiltration de données avant tout chiffrement, et les obligations de notification RGPD s'appliquent dès lors qu'une compromission de données personnelles est suspectée.

Alerte critique

CVE-2026-35273 a été exploitée comme zero-day pendant 14 jours avant le patch Oracle. Plus de 100 organisations ont été compromises par ShinyHunters. Si votre instance PeopleSoft PeopleTools 8.61/8.62 n'est pas patchée, vous devez considérer qu'une compromission a pu avoir lieu. Le patch est impératif. Même après correctif appliqué, une vérification forensique des accès EMHub depuis fin mai 2026 est fortement recommandée pour évaluer vos obligations de notification RGPD.

Notre instance PeopleSoft est derrière un VPN — sommes-nous protégés de CVE-2026-35273 ?

Partiellement. Si l'accès à PeopleSoft est conditionné à une connexion VPN avec MFA, et si l'interface EMHub n'est pas directement accessible depuis Internet, votre exposition directe est réduite. Deux risques subsistent néanmoins : (1) si votre VPN a été compromis via FortiBleed ou une autre vulnérabilité VPN active en 2026, les attaquants peuvent accéder à votre réseau interne et exploiter CVE-2026-35273 depuis l'intérieur ; (2) si PeopleSoft est accessible depuis d'autres systèmes internes dont un compte ou un service a été compromis. La restriction réseau est une mitigation, pas une protection totale — le patch reste la seule solution définitive.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit