Outils / Actualités / ShinyHunters compromet le compte AWS de la Commission européenne. 350 Go de contrats, e-mails et documents internes dérobés.
Presse

ShinyHunters compromet le compte AWS de la Commission européenne. 350 Go de contrats, e-mails et documents internes dérobés.

· VaultTools

Le 24 mars 2026, des attaquants ont accédé au compte Amazon Web Services de la Commission européenne hébergeant son infrastructure Europa.eu. Le groupe ShinyHunters revendique le vol de 350 Go de données, dont des exports de serveurs mail, des bases de données, des contrats et des documents internes. La Commission a confirmé l'attaque trois jours plus tard.

VaultTools · 30 mars 2026

Une personne tapant sur un ordinateur portable avec une incrustation de cadenas numérique, représentant une intrusion dans une infrastructure cloud. Photo de Towfiqu barbhuiya sur Unsplash

Table des matières


Ce qui S’est Passé

Le 24 mars 2026, la Commission européenne a détecté une cyberattaque contre son infrastructure cloud. Trois jours plus tard, le 27 mars, la Commission a confirmé l’incident publiquement. L’attaque visait le compte AWS hébergeant la présence web de la Commission sur la plateforme Europa.eu.

L’acteur malveillant est ShinyHunters, un groupe bien documenté responsable de violations massives antérieures, notamment Ticketmaster (560 millions d’enregistrements), Santander Bank et AT&T. Le groupe a publié sa revendication le 26 mars sur un forum du dark web, avec un horodatage au 2026-03-26 11:10:00. ShinyHunters a fourni à BleepingComputer des captures d’écran de documents volés pour prouver son accès.

Le communiqué officiel de la Commission indique : « Le 24 mars, la Commission européenne a découvert une cyberattaque ayant affecté son infrastructure cloud hébergeant la présence web de la Commission sur la plateforme Europa.eu. La Commission a pris des mesures immédiates et a contenu l’attaque, des mesures d’atténuation des risques ayant également été mises en œuvre. »

Ce qui A Été Dérobé

ShinyHunters affirme que le jeu de données volé totalise 350 Go et comprend :

  • Des exports de serveurs mail
  • Des exports de bases de données
  • Des documents internes
  • Des contrats
  • Des données d’employés

Le groupe a déclaré ne pas chercher de rançon et prévoit de publier les données. Au 30 mars 2026, aucune publication n’a eu lieu et l’enquête est toujours en cours.

La Commission a précisé que ses systèmes internes n’ont pas été affectés. L’intrusion s’est limitée à l’infrastructure cloud utilisée pour héberger les sites publics Europa.eu. AWS a nié toute défaillance de sécurité de son côté.

Comment L’Attaque A Fonctionné

Selon les rapports de Cybernews et CSO Online, les attaquants ont utilisé l’ingénierie sociale pour obtenir les identifiants du compte AWS de la Commission. Aucune vulnérabilité logicielle d’AWS n’a été exploitée. L’attaque reposait sur une compromission d’identifiants au niveau du compte, la même technique utilisée dans la majorité des violations cloud très médiatisées.

Cela correspond au schéma identifié dans le rapport 2026 State of Browser Security de Keep Aware, publié trois semaines plus tôt, qui révèle que 46 % des identifiants sensibles soumis dans les environnements d’entreprise transitent par des comptes personnels ou non vérifiés, sans contrôles supplémentaires.

L’Ironie du RGPD

La Commission européenne est l’institution qui a rédigé, promulgué et fait respecter le Règlement général sur la protection des données. C’est elle qui a infligé les amendes ayant porté le total cumulé des sanctions RGPD au-delà de 7,1 milliards d’euros. Ses propres documents hébergés dans le cloud sont désormais entre les mains d’un groupe qui a par le passé monétisé des données volées sur des marchés criminels.

La violation ne constitue pas, au sens réglementaire, une infraction au RGPD de la Commission envers une personne concernée, mais la dimension institutionnelle est significative. L’organisation dotée de la plus haute autorité formelle en matière de protection des données dans le monde n’a pas pu empêcher un acteur malveillant connu de s’emparer de ses propres fichiers stockés dans le cloud.

Ce que Cela Signifie pour les Fichiers Stockés dans le Cloud

L’attaque n’a exploité aucune vulnérabilité de type zero-day. Elle n’a recouru à aucun logiciel malveillant sophistiqué. Elle a utilisé des identifiants compromis contre un compte cloud. C’est le modèle de menace ordinaire pour toute organisation qui stocke des documents sur une infrastructure cloud tierce.

Les fichiers qui n’atteignent jamais un serveur ne peuvent pas en être volés. Traiter des documents, contrats, PDF et images localement dans le navigateur, sans les téléverser vers un service externe, élimine entièrement la cible côté serveur. Il n’y a pas de compte cloud à compromettre, pas de bucket de stockage à exfiltrer, pas de dump de messagerie à revendre. Le fichier reste sur l’appareil qui l’a créé.


Sources