La Commission européenne a été visée par une cyberattaque touchant l’infrastructure cloud du portail Europa. L’incident n’a pas interrompu les services, mais une extraction de données est désormais envisagée, alors que l’enquête se poursuit. En parallèle, des éléments non officiels évoquent une compromission d’un environnement AWS et un volume de données potentiellement important.
Une intrusion sur la vitrine web… et un accès à un environnement cloud
Le 24 mars, la Commission européenne identifie une attaque sur l’infrastructure cloud qui héberge Europa.eu, la principale porte d’entrée des sites institutionnels européens.
La réaction est immédiate. Les équipes techniques contiennent l’attaque et mettent en place des mesures de protection sans interrompre l’accès aux sites. Aucun impact n’est signalé sur la disponibilité des services.
Mais en coulisses, l’incident semble plus large. Selon BleepingComputer, l’attaque aurait impliqué au moins un compte Amazon Web Services utilisé par la Commission. Un porte-parole d’AWS précise de son côté que ses services « ont fonctionné comme prévu » et qu’aucun incident propre à l’infrastructure cloud n’a été constaté.
L’attaque aurait été détectée rapidement, avec une mobilisation immédiate de l’équipe de réponse à incident. Reste à comprendre comment l’accès a été obtenu et jusqu’où il a permis d’aller.
Une fuite de données évoquée, avec des éléments non confirmés
C’est sur ce point que l’incident prend une autre dimension. La Commission évoque elle-même une possible extraction de données depuis les sites concernés, sans en préciser ni la nature ni le volume. Les entités potentiellement touchées ont été informées.
Mais d’autres informations circulent. Toujours selon BleepingComputer, l’attaquant revendique le vol de plus de 350 Go de données, incluant plusieurs bases. Des captures d’écran auraient été transmises pour attester de l’accès, montrant notamment des informations liées à des employés de la Commission ainsi qu’à un serveur de messagerie interne.
Le même acteur affirme ne pas chercher à extorquer l’institution, mais envisager une publication ultérieure des données. À ce stade, ces éléments ne sont pas confirmés officiellement.
Les systèmes internes de la Commission ne sont pas considérés comme compromis. L’exposition resterait donc limitée à l’environnement cloud et aux services web associés. L’enquête en cours doit désormais déterminer précisément ce qui a été accessible et éventuellement extrait.
Des incidents qui s’inscrivent dans une série plus large
Cet épisode intervient alors que la Commission a déjà fait face à un autre incident en début d’année, lié à une plateforme de gestion des appareils mobiles. Cette attaque s’inscrivait dans une campagne plus large exploitant des vulnérabilités du logiciel Ivanti EPMM, ayant également touché d’autres institutions européennes.
