Une cyberattaque affectant l’environnement cloud de la Commission européenne est examinée parallèlement aux affirmations du groupe de hackers ShinyHunters selon lesquelles il aurait accédé et exfiltré de grands volumes de données provenant des systèmes européens.
L’incident a été identifié le 24 mars dans les infrastructures soutenant la plateforme Europa.eu, qui héberge les sites web publics de la Commission. Officials confirmed qu’au moins un compte Amazon Web Services utilisé dans cet environnement a été consulté sans autorisation.
La Commission a indiqué que la faille se limitait aux services web orientés vers l’extérieur et n’affectait pas les systèmes internes. Les enquêteurs ont indiqué que l’intrusion avait été rapidement détectée, permettant aux équipes d’intervention de sécuriser les composants affectés et d’éviter toute perturbation des services publics.
Les premières découvertes indiquent que les données ont été prélevées sur les systèmes compromis. Les autorités continuent d’évaluer quelles informations ont pu être consultées et informent les entités de l’UE susceptibles d’être concernées. L’étendue complète de l’exposition n’a pas été divulguée.
Par un autre côté, ShinyHunters a revendiqué la responsabilité de l’attaque et a déclaré avoir obtenu plus de 350 Go de données. Selon des rapports, l’ensemble de données allégué pourrait inclure le contenu de la base de données, des documents internes et des informations provenant des systèmes de messagerie. Ces affirmations n’ont pas été vérifiées de manière indépendante par la Commission.
Le groupe a ajouté la Commission à son site de fuite de données, une plateforme couramment utilisée pour publier des données volées dans le cadre d’activités d’extorsion. ShinyHunters est connu pour une approche « payez ou fuite » dans laquelle les organisations sont contraintes de répondre aux demandes ou risquent la diffusion publique d’informations volées.
Les détails sur la manière dont les assaillants ont pu accéder n’ont pas été confirmés publiquement. Les enquêteurs examinent des points d’entrée possibles, y compris des identifiants compromis ou des ressources cloud mal configurées, mais aucune explication officielle n’a été fournie.
La Commission a déclaré que l’attaque n’avait pas interrompu la disponibilité du site web. Des mesures d’atténuation ont été mises en place pour sécuriser l’environnement affecté et prévenir d’autres accès non autorisés pendant la poursuite de l’enquête.
L’affaire est en cours d’examen parallèlement à un autre incident de sécurité impliquant des systèmes de la Commission signalé plus tôt en 2026. Les autorités n’ont pas précisé si les événements sont liés.