La Commission européenne a confirmé jeudi qu'une cyberattaque avait frappé une partie de son infrastructure cloud hébergée sur Amazon Web Services, entraînant le vol de plus de 350 gigaoctets de données. L'attaque, survenue le 24 mars, a été détectée et bloquée par les équipes de sécurité, mais pas avant que l'auteur de la menace n'ait réussi à exfiltrer un volume considérable d'informations sensibles, notamment plusieurs bases de données et des fichiers internes.
Selon des sources proches de l'enquête, l'attaquant a contacté directement BleepingComputer avec des preuves de la violation, fournissant des captures d'écran montrant l'accès aux informations des employés de la Commission européenne et à un serveur de messagerie interne. L'infrastructure compromise hébergeait la présence en ligne de la Commission sur la plateforme Europa.eu, ce qui soulève des préoccupations quant à l'étendue des données auxquelles il a été possible d'accéder durant l'intrusion.
Les analystes en cybersécurité ont confirmé qu'Amazon Web Services lui-même n'a pas été compromis lors de cet incident. L'attaquant a plutôt ciblé la couche de gestion, en compromettant spécifiquement au moins un compte utilisé pour administrer l'environnement cloud de la Commission. Cette distinction est essentielle, car elle révèle une défaillance dans les contrôles d'accès et la gestion des identifiants plutôt qu'une vulnérabilité de la plateforme cloud sous-jacente.
La Commission européenne a déclaré avoir pris des mesures immédiates pour contenir l'attaque dès sa détection, et que la brèche a été entièrement isolée. Une enquête interne est actuellement en cours pour déterminer l'étendue complète de l'exfiltration de données et identifier tout système supplémentaire susceptible d'avoir été affecté. La Commission n'a pas encore précisé si les données volées comprenaient des informations classifiées ou à diffusion restreinte.
Dans un développement particulièrement préoccupant, l'auteur de la menace a indiqué qu'il ne prévoyait pas de demander une rançon pour les données dérobées. Le pirate a plutôt l'intention de divulguer les informations publiquement à une date ultérieure, ce qui suggère que la motivation derrière l'attaque pourrait être d'ordre géopolitique ou réputationnel plutôt que financier. Cette approche représente une tendance croissante parmi les acteurs malveillants sophistiqués qui cherchent à maximiser les dégâts par l'exposition publique plutôt que par l'extorsion privée.
Cet incident constitue la deuxième violation majeure de cybersécurité affectant la Commission européenne en 2026. Le 30 janvier, un accès non autorisé à l'infrastructure centrale de gestion des appareils mobiles avait été détecté le 6 février, exposant potentiellement les noms et numéros de téléphone du personnel. Cette première brèche, contenue en neuf heures, aurait exploité les vulnérabilités référencées CVE-2026-1281 et CVE-2026-1340.
Le ciblage répété des institutions de l'Union européenne souligne l'escalade du paysage des cybermenaces auxquelles font face les organisations gouvernementales à travers le monde. Les experts en cybersécurité ont souligné que les environnements cloud nécessitent des protocoles robustes de gestion des identités et des accès, une authentification multifactorielle et une surveillance continue pour prévenir des incidents similaires à l'avenir.
Commentaires