Une faille critique dans PeopleSoft, exploitée en silence depuis fin mai, aurait permis à ShinyHunters de piller plus de 100 organisations. Les universités trinquent en premier. Et côté français, l'alerte se fait attendre.
PeopleSoft, ça ne vous dit probablement rien. C'est pourtant ce logiciel d'Oracle qui gère la paie, les ressources humaines ou la scolarité de millions de personnes dans les grandes organisations du monde entier. Le 10 juin, Oracle a publié une alerte de sécurité en urgence, hors de son calendrier habituel : une faille critique du produit est activement exploitée. Mandiant, la branche cybersécurité de Google Cloud, attribue la campagne au collectif ShinyHunters, dont BleepingComputer a été le premier à documenter les revendications.
Une faille notée 9,8 sur 10, exploitée pendant deux semaines avant l'alerte
La vulnérabilité, référencée CVE-2026-35273, loge dans le composant de gestion des mises à jour de PeopleTools, le socle technique de PeopleSoft, dans ses versions 8.61 et 8.62. Sa note de sévérité atteint 9,8 sur 10, et pour cause : elle permet d'exécuter du code à distance sans le moindre identifiant, avec un simple accès HTTP au serveur. C'est, en somme, le service paie d'une grande entreprise dont la porte donnerait directement sur la rue, sans badge ni serrure.
L'exploitation a débuté le 27 mai et s'est poursuivie jusqu'au 9 juin, tandis qu'Oracle n'a publié son alerte que le lendemain, après le signalement des chercheurs de la Zero Day Initiative. La faille a donc été un zero-day, une brèche inconnue de l'éditeur, pendant toute la durée de la campagne. Deux semaines de chasse ouverte.
ShinyHunters affirme avoir compromis plus de 300 instances PeopleSoft appartenant à plus de 100 organisations, avec extorsion à la clé : payer, ou voir les données publiées. Mandiant indique de son côté avoir notifié plus de 100 organisations dont les adresses IP correspondaient à des serveurs potentiellement vulnérables. Potentiellement vulnérable ne signifie pas compromis, mais le recoupement des deux périmètres dessine un terrain de chasse considérable. L'enseignement supérieur concentre 68 % des victimes identifiées, principalement aux États-Unis. L'université de Nottingham, au Royaume-Uni, accuse le coup avec environ 455 000 adresses e-mail uniques recensées par Have I Been Pwned, et une quarantaine de gigaoctets de données auraient été exfiltrés.
Pendant ce temps, le CERT-FR n'a toujours rien publié
Au moment où nous écrivons ces lignes, ce 12 juin, le centre gouvernemental français de réponse aux attaques informatiques n'a publié ni avis ni alerte concernant CVE-2026-35273. Sa dernière fournée du 11 juin couvre pourtant huit produits, de GitLab à Spring en passant par Palo Alto et Splunk. Son dernier avis consacré à PeopleSoft remonte au cycle de correctifs de janvier. Rien d'anormal sur le papier, puisque l'organisme relaie habituellement les bulletins des éditeurs sous quelques jours et que l'alerte d'Oracle est toute fraîche. Sauf que l'exploitation court depuis le 27 mai : plus de deux semaines pendant lesquelles les organisations françaises équipées de PeopleSoft n'ont reçu aucun signal national.
Et elles existent. Le logiciel équipe des grandes entreprises et des établissements d'enseignement supérieur pour la gestion des ressources humaines, de la paie ou de la scolarité. Autrement dit, des données personnelles par millions. Le RGPD ne laisse aucune marge sur ce terrain : toute violation avérée impose une notification à la CNIL sous 72 heures. Et les dossiers de salariés ou d'étudiants cochent toutes les cases de la donnée à fort enjeu.
ShinyHunters laboure le secteur éducatif depuis des mois, comme l'a montré l'intrusion sur la plateforme Canvas qui a touché 9 000 écoles dans le monde en mai. Le mode opératoire reste constant : frapper un fournisseur central pour rafler ses clients en aval, une mécanique déjà vue lors du piratage de Rockstar Games via un prestataire de monitoring en avril. Le collectif n'épargne personne, pas même Google, piraté quelques semaines après avoir publiquement alerté sur le groupe. Détail piquant, le gang compte des racines partiellement françaises, le Français Sébastien Raoult ayant plaidé coupable à ce titre devant la justice américaine en 2023.
Un correctif aux abonnés absents
Reste la question qui fâche : comment se protéger ? L'alerte d'Oracle renvoie vers un document de disponibilité des correctifs réservé aux clients disposant d'un compte support. Impossible, donc, de savoir publiquement si un correctif complet existe à ce jour. L'éditeur « recommande fortement une action immédiate », c'est formulé poliment. En attendant mieux, les administrateurs n'ont guère le choix : couper ou restreindre l'exposition HTTP des instances PeopleTools et éplucher les journaux à la recherche d'indicateurs de compromission. Toute instance exposée doit être considérée comme potentiellement visitée.
Le contexte n'invite pas à la procrastination. La faille PeopleSoft n'est pas la seule à être exploitée en ce moment avant tout correctif : un second zero-day touche les équipements Cisco Catalyst SD-WAN, si si, deux brèches actives en simultané. Pour le lecteur dont l'université ou l'employeur fait tourner sa paie ou sa scolarité sur PeopleSoft, la conséquence est plus terre à terre : surveiller les éventuelles notifications de violation dans les semaines qui viennent. Et redoubler de méfiance face aux e-mails trop bien renseignés, car ces fichiers volés nourrissent d'abord le hameçonnage ciblé.
