Le CERT-EU attribue le piratage de la Commission européenne au groupe TeamPCP, qui a exploité une version compromise de l'outil open source Trivy pour voler les données de 30 entités de l'UE.
TL;DR — En résumé
Le CERT-EU attribue le hack de la Commission européenne à TeamPCP via Trivy compromis. 90 Go de données de 30 entités UE publiées par ShinyHunters.
En bref
- Le CERT-EU attribue le piratage de la Commission européenne au groupe TeamPCP, qui a exploité une version compromise de l'outil open source Trivy.
- Les données de 42 clients internes et d'au moins 29 autres entités de l'Union européenne ont été compromises.
- Le groupe ShinyHunters a publié 90 Go de données volées sur le dark web, incluant noms, adresses e-mail et contenus de courriels.
Ce qui s'est passé
Le 3 avril 2026, le CERT-EU a officiellement attribué la cyberattaque contre la Commission européenne au groupe de hackers TeamPCP. L'attaque remonte au 19 mars, lorsque les attaquants ont obtenu une clé API secrète associée au compte AWS de la Commission. Cette compromission fait suite à une attaque antérieure ciblant l'outil de sécurité open source Trivy, dont la Commission avait involontairement téléchargé une copie piégée après la compromission du projet. Les techniques de compromission de Trivy via la supply chain avaient déjà été documentées par la communauté cybersécurité.
Grâce à la clé AWS volée, l'acteur malveillant a exfiltré des dizaines de milliers de fichiers contenant des informations personnelles, des noms d'utilisateur, des adresses e-mail et du contenu de courriels. La brèche affecte potentiellement 42 clients internes de la Commission européenne et au moins 29 autres entités de l'Union utilisant le service d'hébergement web europa.eu. L'ampleur de cette attaque en fait l'un des incidents les plus significatifs ayant touché les institutions européennes.
Le 28 mars, le groupe d'extorsion ShinyHunters, déjà connu pour ses attaques massives contre des entreprises, a publié les données volées sur son site de fuite du dark web sous la forme d'une archive de 90 Go (environ 340 Go décompressés). TeamPCP, au-delà de cette attaque, est lié à des campagnes de ransomware, de cryptominage et à une série systématique d'attaques supply chain compromettant des projets open source de sécurité.
Pourquoi c'est important
Cette attaque illustre de manière spectaculaire les risques liés à la supply chain logicielle. Un outil de sécurité open source, censé protéger les infrastructures, a servi de vecteur d'intrusion contre l'une des institutions les plus importantes d'Europe. Le scénario rappelle l'attaque SolarWinds de 2020, mais cette fois dans l'écosystème open source. Les organisations qui intègrent des outils open source dans leur pipeline de sécurité doivent impérativement vérifier l'intégrité des binaires téléchargés via des mécanismes comme SBOM et SLSA.
La publication des données par ShinyHunters ajoute une dimension d'extorsion à ce qui était déjà un incident d'espionnage majeur. Les 340 Go de données exposées contiennent potentiellement des communications diplomatiques sensibles, des informations stratégiques sur les politiques européennes et des données personnelles de milliers de fonctionnaires. Les récentes attaques GlassWorm contre les extensions VSCode confirment que la supply chain logicielle reste un angle d'attaque privilégié en 2026.
Ce qu'il faut retenir
- Les outils de sécurité open source ne sont pas à l'abri de la compromission : vérifiez systématiquement les signatures et les hashes des binaires téléchargés avant déploiement.
- La gestion des clés API cloud (AWS, Azure, GCP) doit inclure la rotation automatique et la détection d'anomalies d'utilisation, selon les principes de l'architecture Zero Trust.
- Les entreprises européennes doivent évaluer leur exposition aux services hébergés sur europa.eu et vérifier si leurs données figurent dans la fuite publiée par ShinyHunters.
Quelles mesures prendre si mon organisation utilise Trivy ?
Si votre organisation utilise Trivy, vérifiez immédiatement la version déployée et comparez le hash du binaire avec celui publié sur le dépôt GitHub officiel. Mettez à jour vers la dernière version corrigée. Auditez les clés API et les secrets qui ont pu être exposés dans les environnements où Trivy était utilisé. Activez la journalisation et surveillez toute activité suspecte sur vos comptes cloud. Le CERT-EU recommande également de revoir les permissions IAM associées aux outils de scan de vulnérabilités.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactPour approfondir
📎 Articles complémentaires
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
DHS : HSIN compromise avant la Coupe du Monde 2026
Le DHS américain confirme la compromission de HSIN, sa plateforme centrale de partage d'informations sécurité entre agences fédérales et secteur privé, par un acteur inconnu entre fin mai et début juin 2026.
Adobe ColdFusion : sept failles CVSS 10.0 dont une exploitée
Adobe a corrigé sept failles CVSS 10.0 dans ColdFusion le 1er juillet 2026. L'une d'elles, CVE-2026-48282, a été exploitée dans la nature en moins de deux heures après sa divulgation.
TrojPix : exfiltration air-gap à 8,1 Mbps par câble vidéo
Des chercheurs de l'Université de Shandong ont démontré TrojPix, une technique d'exfiltration depuis des systèmes air-gapped via les émissions radio du câble vidéo, atteignant 8,1 Mbps sur 208 mètres.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires (1)
Laisser un commentaire