Le CERT-EU attribue le piratage de la Commission européenne au groupe TeamPCP, qui a exploité une version compromise de l'outil open source Trivy pour voler les données de 30 entités de l'UE.
En bref
- Le CERT-EU attribue le piratage de la Commission européenne au groupe TeamPCP, qui a exploité une version compromise de l'outil open source Trivy.
- Les données de 42 clients internes et d'au moins 29 autres entités de l'Union européenne ont été compromises.
- Le groupe ShinyHunters a publié 90 Go de données volées sur le dark web, incluant noms, adresses e-mail et contenus de courriels.
Ce qui s'est passé
Le 3 avril 2026, le CERT-EU a officiellement attribué la cyberattaque contre la Commission européenne au groupe de hackers TeamPCP. L'attaque remonte au 19 mars, lorsque les attaquants ont obtenu une clé API secrète associée au compte AWS de la Commission. Cette compromission fait suite à une attaque antérieure ciblant l'outil de sécurité open source Trivy, dont la Commission avait involontairement téléchargé une copie piégée après la compromission du projet. Les techniques de compromission de Trivy via la supply chain avaient déjà été documentées par la communauté cybersécurité.
Grâce à la clé AWS volée, l'acteur malveillant a exfiltré des dizaines de milliers de fichiers contenant des informations personnelles, des noms d'utilisateur, des adresses e-mail et du contenu de courriels. La brèche affecte potentiellement 42 clients internes de la Commission européenne et au moins 29 autres entités de l'Union utilisant le service d'hébergement web europa.eu. L'ampleur de cette attaque en fait l'un des incidents les plus significatifs ayant touché les institutions européennes.
Le 28 mars, le groupe d'extorsion ShinyHunters, déjà connu pour ses attaques massives contre des entreprises, a publié les données volées sur son site de fuite du dark web sous la forme d'une archive de 90 Go (environ 340 Go décompressés). TeamPCP, au-delà de cette attaque, est lié à des campagnes de ransomware, de cryptominage et à une série systématique d'attaques supply chain compromettant des projets open source de sécurité.
Pourquoi c'est important
Cette attaque illustre de manière spectaculaire les risques liés à la supply chain logicielle. Un outil de sécurité open source, censé protéger les infrastructures, a servi de vecteur d'intrusion contre l'une des institutions les plus importantes d'Europe. Le scénario rappelle l'attaque SolarWinds de 2020, mais cette fois dans l'écosystème open source. Les organisations qui intègrent des outils open source dans leur pipeline de sécurité doivent impérativement vérifier l'intégrité des binaires téléchargés via des mécanismes comme SBOM et SLSA.
La publication des données par ShinyHunters ajoute une dimension d'extorsion à ce qui était déjà un incident d'espionnage majeur. Les 340 Go de données exposées contiennent potentiellement des communications diplomatiques sensibles, des informations stratégiques sur les politiques européennes et des données personnelles de milliers de fonctionnaires. Les récentes attaques GlassWorm contre les extensions VSCode confirment que la supply chain logicielle reste un angle d'attaque privilégié en 2026.
Ce qu'il faut retenir
- Les outils de sécurité open source ne sont pas à l'abri de la compromission : vérifiez systématiquement les signatures et les hashes des binaires téléchargés avant déploiement.
- La gestion des clés API cloud (AWS, Azure, GCP) doit inclure la rotation automatique et la détection d'anomalies d'utilisation, selon les principes de l'architecture Zero Trust.
- Les entreprises européennes doivent évaluer leur exposition aux services hébergés sur europa.eu et vérifier si leurs données figurent dans la fuite publiée par ShinyHunters.
Quelles mesures prendre si mon organisation utilise Trivy ?
Si votre organisation utilise Trivy, vérifiez immédiatement la version déployée et comparez le hash du binaire avec celui publié sur le dépôt GitHub officiel. Mettez à jour vers la dernière version corrigée. Auditez les clés API et les secrets qui ont pu être exposés dans les environnements où Trivy était utilisé. Activez la journalisation et surveillez toute activité suspecte sur vos comptes cloud. Le CERT-EU recommande également de revoir les permissions IAM associées aux outils de scan de vulnérabilités.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires (1)
Laisser un commentaire