En bref

  • Le CERT-EU attribue le piratage du cloud AWS de la Commission européenne au groupe TeamPCP, actif dans les attaques supply chain.
  • Les données de 30 entités de l'Union européenne ont été exfiltrées, soit 340 Go de documents publiés sur le dark web.
  • L'attaque exploite une clé API AWS volée lors d'une compromission antérieure de la supply chain Trivy.

Ce qui s'est passé

Le CERT-EU a formellement attribué le piratage de l'environnement cloud Amazon Web Services de la Commission européenne au groupe TeamPCP, selon BleepingComputer et SecurityWeek. L'intrusion initiale, datée du 10 mars, a exploité une clé API AWS disposant de droits de gestion sur d'autres comptes cloud de la Commission — une clé volée lors de l'attaque supply chain ciblant Trivy, un outil d'analyse de sécurité largement utilisé dans les environnements conteneurisés.

Après avoir pris pied dans l'infrastructure, les attaquants ont utilisé TruffleHog, un outil de recherche de secrets dans le code, pour identifier d'autres identifiants exploitables. Ils ont ensuite créé de nouvelles clés d'accès rattachées à des utilisateurs existants pour éviter la détection, avant de procéder à l'exfiltration massive de données. Le Centre des opérations de cybersécurité de la Commission n'a détecté aucune activité anormale avant le 24 mars, soit cinq jours après le début de l'intrusion.

Le 28 mars, le groupe d'extorsion ShinyHunters a publié les données volées sous la forme d'une archive de 90 Go (environ 340 Go décompressés) contenant des noms, adresses email et contenus de courriels. Au total, les données de 29 autres entités de l'Union européenne ont été compromises dans cette même opération, selon le rapport du CERT-EU relayé par Dark Reading.

Pourquoi c'est important

Cet incident est l'un des plus graves ayant touché les institutions européennes. Il démontre comment une attaque supply chain — ici la compromission de Trivy — peut servir de tremplin vers des cibles de haute valeur. Le schéma est similaire aux attaques par paquets malveillants sur npm et aux compromissions de plugins WordPress observées récemment : un composant de confiance est détourné pour atteindre des cibles en aval.

TeamPCP s'est imposé comme l'un des groupes les plus prolifiques dans le domaine des attaques supply chain, ciblant GitHub, PyPI, npm et Docker Hub. Leur capacité à pivoter depuis un outil de sécurité (Trivy) vers l'infrastructure cloud d'une institution majeure souligne la nécessité de repenser la gestion des secrets et la rotation des clés API dans les environnements multi-cloud. Le délai de cinq jours entre l'intrusion et la détection interroge également sur les capacités de monitoring des institutions européennes.

Ce qu'il faut retenir

  • Auditez immédiatement vos clés API cloud : toute clé ayant pu être exposée via un outil tiers compromis (Trivy, LiteLLM) doit être révoquée et remplacée.
  • Implémentez une rotation automatique des secrets et un monitoring des créations de clés d'accès inhabituelles dans vos environnements AWS, Azure et GCP.
  • Les outils de sécurité eux-mêmes peuvent devenir des vecteurs d'attaque : intégrez vos scanners de vulnérabilités dans votre périmètre de surveillance supply chain.

Comment sécuriser ses clés API cloud contre les attaques supply chain ?

La première mesure est de ne jamais stocker de clés API en dur dans le code ou les fichiers de configuration. Utilisez un gestionnaire de secrets (AWS Secrets Manager, HashiCorp Vault, Azure Key Vault) avec rotation automatique. Activez les alertes sur la création de nouvelles clés d'accès IAM et sur les appels API inhabituels via CloudTrail ou équivalent. Enfin, appliquez le principe du moindre privilège : chaque clé ne doit disposer que des permissions strictement nécessaires, et les clés de gestion multi-comptes doivent faire l'objet d'une surveillance renforcée.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact