En bref

  • ShinyHunters revendique le vol de 297 Go de données au Conseil de l'Europe, incluant 409 000 fiches de paie de plus de 10 000 employés actuels et anciens
  • Vecteur revendiqué : exploitation de CVE-2026-35273, la faille Oracle PeopleSoft permettant un RCE sans authentification
  • Le Conseil de l'Europe a ouvert une investigation — aucune confirmation officielle des données volées à ce stade

Les faits

Le 14 juin 2026, le groupe cybercriminel ShinyHunters a revendiqué avoir compromis les systèmes informatiques du Conseil de l'Europe, l'organisation intergouvernementale basée à Strasbourg regroupant 46 États membres. Selon les affirmations du groupe, publiées sur un forum cybercriminel anglophone, le vol porterait sur 297 Go de données réparties en 429 000 fichiers, avec une deadline de divulgation fixée au 16 juin 2026 faute de paiement d'une rançon.

Les données prétendument exfiltrées sont d'une nature particulièrement sensible. ShinyHunters affirme détenir 409 000 fiches de paie de plus de 10 000 employés et anciens employés du Conseil de l'Europe, accompagnées de 14 000 CV, 3 700 documents RH internes, des relevés bancaires, des numéros de sécurité sociale, des données fiscales, et l'ensemble des informations personnelles associées. Les entités touchées incluraient le Secrétariat général, la Direction des Ressources Humaines, l'Assemblée Parlementaire du Conseil de l'Europe (APCE), et la Direction Européenne de la Qualité des Médicaments (EDQM).

Selon un porte-parole de ShinyHunters ayant communiqué avec des journalistes de The Register, le vecteur d'intrusion utilisé serait CVE-2026-35273, une vulnérabilité critique dans Oracle PeopleSoft permettant une exécution de code à distance (RCE) sans authentification préalable. Cette même faille avait déjà été exploitée par ShinyHunters en mai 2026 contre une centaine d'universités nord-américaines et canadiennes. L'exploitation contre une institution internationale de cette envergure marque une escalade significative dans le périmètre ciblé par le groupe.

Le Conseil de l'Europe a réagi le 15 juin 2026 en publiant une déclaration indiquant qu'il était "au courant des affirmations" de ShinyHunters et qu'une investigation était en cours en collaboration avec les autorités compétentes. L'organisation n'a fourni aucune confirmation quant à l'authenticité ou à l'étendue des données prétendument volées. À la date de publication de cet article, les données n'ont pas été rendues publiques, ce qui laisse ouvertes plusieurs hypothèses : paiement discret, négociation en cours, ou données non réellement détenues par le groupe.

ShinyHunters est un groupe cybercriminel documenté depuis 2020, initialement spécialisé dans le vol et la revente de bases de données, passé depuis à un modèle d'extorsion directe avec menace de publication publique. Leurs victimes notables en 2026 sont édifiantes par leur volume : Sysco (61 millions de records), MSG Sports (26 millions de dossiers), Instructure/Canvas (275 millions de records d'étudiants), une centaine d'universités via Oracle PeopleSoft, et maintenant le Conseil de l'Europe. Cette accumulation de cibles de premier plan en quelques semaines suggère un accès à des outils d'exploitation automatisée permettant un ciblage en masse des instances PeopleSoft vulnérables identifiées via des scans Shodan ou Censys.

La réutilisation de CVE-2026-35273 pour cette attaque est un signal important. Oracle avait publié un correctif pour cette faille dans son CPU (Critical Patch Update) du mois précédent. Si le vecteur revendiqué par ShinyHunters est authentique, cela signifie que le Conseil de l'Europe n'avait pas appliqué ce correctif dans un délai acceptable pour une organisation de ce niveau d'exposition. L'exploitation de PeopleSoft est désormais documentée, automatisée et active : chaque jour de délai supplémentaire représente un risque concret.

L'ampleur de la violation potentielle pose des problèmes qui dépassent le simple vol de données. Les 409 000 fiches de paie avec coordonnées bancaires constituent un trésor pour des opérations de phishing ciblé et de fraude financière. Les 14 000 CV et dossiers RH peuvent être exploités pour du social engineering visant des diplomates, des juristes internationaux et des fonctionnaires d'organisations multilatérales. Dans un contexte géopolitique tendu, ces données pourraient également intéresser des acteurs étatiques cherchant à compromettre des personnels d'organisations internationales ayant accès à des informations sensibles sur des traités, des procédures juridiques ou des délibérations diplomatiques.

La deadline du 16 juin 2026 est passée sans publication des données par ShinyHunters selon les sources disponibles, ce qui laisse penser que des négociations sont en cours ou que le groupe prépare une mise à disposition sur des marchés cybercriminels privés. Le Conseil de l'Europe, qui est notamment l'institution à l'origine de la Convention de Budapest sur la cybercriminalité, subit une ironie particulièrement amère si cette violation est confirmée.

Impact et exposition

L'impact direct concerne les 10 000 employés et anciens employés du Conseil de l'Europe dont les données financières et personnelles auraient été compromises. En cas de publication, ces individus sont exposés à des risques de phishing ciblé, d'usurpation d'identité et de fraude bancaire. Pour l'organisation, les répercussions diplomatiques, réputationnelles et réglementaires sont considérables — notamment au regard du RGPD.

Plus largement, toute organisation utilisant Oracle PeopleSoft sans avoir appliqué le patch CVE-2026-35273 reste directement exposée à des attaques similaires. Les instances PeopleSoft accessibles sur Internet sont découvrables en quelques minutes via des moteurs de recherche spécialisés.

Recommandations

  • Appliquer immédiatement le correctif Oracle pour CVE-2026-35273 si ce n'est pas encore fait — priorité absolue, l'exploitation est sans authentification
  • Auditer les logs d'accès PeopleSoft pour détecter des connexions anormales sur les 60 derniers jours, particulièrement des requêtes non authentifiées sur les endpoints d'API PIA
  • Restreindre l'accès aux interfaces PeopleSoft derrière un VPN avec MFA — interdire tout accès direct depuis Internet
  • Pour les employés du Conseil de l'Europe : surveiller les transactions bancaires inhabituelles et se méfier des tentatives de phishing exploitant des informations personnelles précises

Alerte critique

Si votre organisation utilise Oracle PeopleSoft, vérifiez l'application du patch CVE-2026-35273 immédiatement. ShinyHunters exploite activement cette faille depuis plusieurs semaines contre des organisations de toutes tailles et tous secteurs. L'exploitation est sans authentification : un accès réseau à l'interface web suffit pour déclencher un RCE.

Comment détecter si notre instance PeopleSoft a été compromise via CVE-2026-35273 ?

Examinez vos logs web server (Apache/IIS) pour des requêtes POST inhabituelles vers les endpoints PIA contenant des paramètres ICPanel, ICScript ou des appels vers des services SOAP/REST non documentés. Vérifiez vos logs WAF pour des alertes "command injection", "SSRF" ou "path traversal" sur les 60 derniers jours. Cherchez des fichiers récemment créés ou modifiés dans les répertoires de configuration PeopleSoft. En cas de doute, mandatez une investigation forensique avant d'appliquer le patch pour préserver les traces d'une éventuelle intrusion antérieure.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit