L’agence de cybersécurité de l’Union européenne, CERT-EU, a confirmé qu’une récente violation majeure de données affectant la Commission européenne était le résultat d’un effort coordonné de deux groupes de pirates informatiques distincts : TeamPCP et ShinyHunters. L’incident a compromis environ 92 Go de données compressées, y compris des informations personnelles telles que des noms, des adresses e-mail et le contenu des e-mails.
Détails et portée de la violation
L’attaque a débuté le 19 mars, lorsque des pirates ont obtenu une clé API secrète liée au compte Amazon Web Services (AWS) de la Commission. Cet accès a été obtenu grâce à une version compromise de l’outil de sécurité open source Trivy, que la Commission a téléchargé sans le savoir après une violation antérieure. Les données volées ont affecté non seulement la Commission, mais potentiellement au moins 29 autres entités de l’UE qui s’appuient sur l’infrastructure cloud de la Commission pour leurs sites Web et leurs publications.
ShinyHunters a ensuite revendiqué la responsabilité de la publication en ligne des données divulguées. Selon un membre du groupe, ils ont acquis certains des fichiers volés à TeamPCP après des attaques antérieures, puis les ont diffusés publiquement.
Pourquoi c’est important : la montée des attaques contre la chaîne d’approvisionnement
Cet incident est remarquable car il met en évidence une tendance croissante de la cybercriminalité : les attaques de la chaîne d’approvisionnement. En compromettant des outils comme Trivy, les pirates informatiques accèdent à plusieurs organisations qui s’appuient sur le même logiciel. Cette stratégie maximise l’impact avec un minimum d’effort. Comme l’explique l’unité 42 de Palo Alto Networks, cibler les développeurs ayant accès à des systèmes sensibles permet aux pirates d’extorquer des organisations contre le paiement de rançons.
Le fait que deux groupes distincts aient été impliqués suggère également une collaboration potentielle ou une exploitation opportuniste de la même vulnérabilité. Le CERT-EU contacte les organisations concernées pour atténuer les dégâts supplémentaires. Le porte-parole de la Commission a refusé de commenter immédiatement, déclarant qu’il répondrait la semaine prochaine.
Risques liés à l’exposition des données
L’analyse des fichiers divulgués révèle qu’environ 52 000 fichiers contiennent des messages électroniques. Bien que bon nombre d’entre eux soient automatisés avec peu de contenu, les e-mails renvoyés en raison d’erreurs peuvent exposer les données originales soumises par l’utilisateur, créant ainsi un risque de compromission des informations personnelles.
Cette violation souligne la vulnérabilité des institutions, même de grande envergure, aux vecteurs d’attaque courants tels que les compromissions de la chaîne d’approvisionnement et les clés API volées. Cet incident rappelle brutalement aux organisations qu’elles doivent donner la priorité aux mises à jour de sécurité logicielle, à des contrôles d’accès robustes et à une surveillance vigilante de leur infrastructure cloud.
