CERT-EU vient d'attribuer l'attaque au groupe TeamPCP. Bilan : 340 Go de données exfiltrées, 30 entités de l'Union touchées, et près de 52 000 fichiers d'emails publiés sur le dark web.
La Commission européenne pousse activement pour durcir la législation cyber à l'échelle du continent. Elle impose aux entreprises et aux États membres des standards de protection toujours plus élevés. Mais quand il s'agit de ses propres systèmes, le bilan est nettement moins flatteur. Le rapport publié ce jeudi par CERT-EU, le service de cybersécurité de l'Union, le confirme. Le piratage de la plateforme Europa est bien plus étendu qu'initialement annoncé.
Une clé AWS volée via un outil open source piégé
L'intrusion a commencé le 19 mars. Le groupe TeamPCP a exploité une version vérolée de Trivy, un scanner de vulnérabilités open source développé par Aqua Security. L'outil est massivement utilisé dans les pipelines de développement logiciel. C'est précisément cette confiance généralisée qui l'a rendu redoutable comme vecteur d'attaque.
La version piégée a permis de récupérer une clé d'accès AWS de la Commission européenne. Cette clé donnait des droits de gestion sur d'autres comptes cloud de l'institution. Les attaquants ont ensuite utilisé TruffleHog, un outil de détection d'identifiants dans le code source. Objectif : ratisser l'environnement cloud à la recherche d'autres accès.
Le groupe aussi créé une nouvelle clé d'accès associée à un utilisateur existant. Une technique classique pour se fondre dans le trafic légitime et échapper aux systèmes de détection. Le centre opérationnel de cybersécurité de la Commission n'a repéré l'anomalie que le 24 mars. Cinq jours se sont écoulés entre la compromission et la première alerte. Le 28 mars, le groupe d'extorsion ShinyHunters a publié l'intégralité du butin sur son site du dark web. L'archive pèse 90 Go compressés, environ 340 Go une fois décompressée.
L'institution qui fixe les règles, mais qui peine à les appliquer ?
Les données touchent 71 clients du service d'hébergement Europa : 42 entités internes de la Commission et au moins 29 autres organes de l'Union. CERT-EU confirme la présence de noms, identifiants, adresses email et contenus de messagerie dans la fuite. Parmi les 51 992 fichiers d'emails identifiés, la majorité sont des notifications automatiques. Mais certains messages de retour contiennent du contenu soumis par des utilisateurs, ce qui aggrave le risque d'exposition de données personnelles.
Plus inquiétant : les clés DKIM de la Commission figureraient dans le lot. Ces clés servent à certifier qu'un email provient bien du domaine affiché. Concrètement, un attaquant équipé de ces clés pourrait envoyer un message depuis une adresse europa.eu qui passerait tous les filtres d'authentification. Le scénario idéal pour des campagnes d'hameçonnage ciblant les États membres ou les agences de l'Union. Et ce n'est pas un incident isolé.
En février 2026, la Commission avait déjà confirmé une première intrusion via une plateforme de gestion de terminaux mobiles. Des données du personnel avaient alors été exposées. Deux brèches en trois mois pour l'organe exécutif qui rédige les directives NIS2 et le Cyber Resilience Act. L'ironie est difficile à ignorer. NIS2 exige des entités critiques une détection rapide des incidents et une notification dans les 24 heures. La Commission a mis cinq jours à repérer l'intrusion dans ses propres systèmes.
