Le CERT-EU attribue le piratage de la Commission européenne au groupe TeamPCP, qui a exploité une version compromise de l'outil open source Trivy pour voler les données de 30 entités de l'UE.
En bref
- Le CERT-EU attribue le piratage de la Commission européenne au groupe TeamPCP, qui a exploité une version compromise de l'outil open source Trivy.
- Les données de 42 clients internes et d'au moins 29 autres entités de l'Union européenne ont été compromises.
- Le groupe ShinyHunters a publié 90 Go de données volées sur le dark web, incluant noms, adresses e-mail et contenus de courriels.
Ce qui s'est passé
Le 3 avril 2026, le CERT-EU a officiellement attribué la cyberattaque contre la Commission européenne au groupe de hackers TeamPCP. L'attaque remonte au 19 mars, lorsque les attaquants ont obtenu une clé API secrète associée au compte AWS de la Commission. Cette compromission fait suite à une attaque antérieure ciblant l'outil de sécurité open source Trivy, dont la Commission avait involontairement téléchargé une copie piégée après la compromission du projet. Les techniques de compromission de Trivy via la supply chain avaient déjà été documentées par la communauté cybersécurité.
Grâce à la clé AWS volée, l'acteur malveillant a exfiltré des dizaines de milliers de fichiers contenant des informations personnelles, des noms d'utilisateur, des adresses e-mail et du contenu de courriels. La brèche affecte potentiellement 42 clients internes de la Commission européenne et au moins 29 autres entités de l'Union utilisant le service d'hébergement web europa.eu. L'ampleur de cette attaque en fait l'un des incidents les plus significatifs ayant touché les institutions européennes.
Le 28 mars, le groupe d'extorsion ShinyHunters, déjà connu pour ses attaques massives contre des entreprises, a publié les données volées sur son site de fuite du dark web sous la forme d'une archive de 90 Go (environ 340 Go décompressés). TeamPCP, au-delà de cette attaque, est lié à des campagnes de ransomware, de cryptominage et à une série systématique d'attaques supply chain compromettant des projets open source de sécurité.
Pourquoi c'est important
Cette attaque illustre de manière spectaculaire les risques liés à la supply chain logicielle. Un outil de sécurité open source, censé protéger les infrastructures, a servi de vecteur d'intrusion contre l'une des institutions les plus importantes d'Europe. Le scénario rappelle l'attaque SolarWinds de 2020, mais cette fois dans l'écosystème open source. Les organisations qui intègrent des outils open source dans leur pipeline de sécurité doivent impérativement vérifier l'intégrité des binaires téléchargés via des mécanismes comme SBOM et SLSA.
La publication des données par ShinyHunters ajoute une dimension d'extorsion à ce qui était déjà un incident d'espionnage majeur. Les 340 Go de données exposées contiennent potentiellement des communications diplomatiques sensibles, des informations stratégiques sur les politiques européennes et des données personnelles de milliers de fonctionnaires. Les récentes attaques GlassWorm contre les extensions VSCode confirment que la supply chain logicielle reste un angle d'attaque privilégié en 2026.
Ce qu'il faut retenir
- Les outils de sécurité open source ne sont pas à l'abri de la compromission : vérifiez systématiquement les signatures et les hashes des binaires téléchargés avant déploiement.
- La gestion des clés API cloud (AWS, Azure, GCP) doit inclure la rotation automatique et la détection d'anomalies d'utilisation, selon les principes de l'architecture Zero Trust.
- Les entreprises européennes doivent évaluer leur exposition aux services hébergés sur europa.eu et vérifier si leurs données figurent dans la fuite publiée par ShinyHunters.
Quelles mesures prendre si mon organisation utilise Trivy ?
Si votre organisation utilise Trivy, vérifiez immédiatement la version déployée et comparez le hash du binaire avec celui publié sur le dépôt GitHub officiel. Mettez à jour vers la dernière version corrigée. Auditez les clés API et les secrets qui ont pu être exposés dans les environnements où Trivy était utilisé. Activez la journalisation et surveillez toute activité suspecte sur vos comptes cloud. Le CERT-EU recommande également de revoir les permissions IAM associées aux outils de scan de vulnérabilités.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Slack déploie 30 fonctionnalités IA et devient un agent autonome
Salesforce transforme Slack avec 30 fonctionnalités IA. Slackbot devient un agent autonome capable d'écouter les réunions, de gérer le CRM et de coordonner des services via MCP.
BrowserGate : LinkedIn scanne vos extensions de navigateur en secret
LinkedIn injecte un script JavaScript qui scanne silencieusement plus de 6 000 extensions Chrome et collecte l'empreinte matérielle des visiteurs, selon le rapport BrowserGate.
CVE-2026-0625 : zero-day critique dans les routeurs D-Link EOL
CVE-2026-0625 : injection de commandes critique (CVSS 9.3) dans les routeurs D-Link DSL en fin de vie. Aucun correctif prévu, remplacement immédiat nécessaire.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire