La mise à jour publiée par CERT-EU apporte un éclairage précis sur l’attaque ayant visé la plateforme europa.eu. Une clé AWS compromise via une chaîne d’approvisionnement logicielle est à l’origine d’une fuite de près de 92 Go de données, touchant bien au-delà de la Commission européenne.
Une attaque supply chain au cœur de l’intrusion
L’analyse de CERT-EU confirme avec un haut niveau de confiance que l’accès initial a été obtenu via la compromission de la chaîne d’approvisionnement de l’outil Trivy, attribuée au groupe TeamPCP. Le 19 mars, les attaquants récupèrent une clé API AWS dotée de droits de gestion sur plusieurs comptes liés à la Commission européenne.
Dans la foulée, ils exploitent cet accès pour rechercher d’autres secrets à l’aide de TruffleHog, un outil conçu pour scanner et valider des identifiants cloud. Une nouvelle clé d’accès est ensuite créée et associée à un utilisateur existant afin de contourner les mécanismes de détection, avant le lancement d’activités de reconnaissance.
Les premières alertes n’interviennent que le 24 mars, lorsque le centre opérationnel de cybersécurité détecte des usages anormaux des API Amazon, une possible compromission de compte et une hausse inhabituelle du trafic réseau. CERT-EU est notifié le lendemain.
Près de 92 Go de données exfiltrées et publiées
L’attaque s’est traduite par l’exfiltration d’un volume significatif de données, estimé à 91,7 Go compressés. Ces données concernent l’infrastructure AWS supportant le service d’hébergement europa.eu, utilisé par 71 clients : 42 entités internes à la Commission et au moins 29 autres organisations de l’Union européenne.
Le 28 mars, le groupe d’extorsion ShinyHunters publie l’intégralité du jeu de données sur le dark web. Les premiers éléments analysés confirment la présence de données personnelles, incluant noms, identifiants, adresses e-mail et contenus de messagerie.
Parmi les fichiers identifiés, plus de 51 000 sont liés à des communications e-mail sortantes. Si la majorité correspond à des notifications automatisées, certains messages de retour (“bounce-back”) peuvent contenir des contenus initialement soumis par des utilisateurs, ce qui constitue un risque direct d’exposition de données personnelles.
Une compromission étendue sans impact opérationnel direct
Malgré la portée de l’incident, aucun site hébergé n’a été mis hors ligne ni altéré. CERT-EU indique également qu’aucun mouvement latéral vers d’autres comptes AWS de la Commission n’a été détecté, bien que la clé compromise disposait de droits suffisants pour le permettre.
La réponse de la Commission a été immédiate : révocation des accès compromis, désactivation des clés créées par les attaquants et notification des autorités compétentes, dont le contrôleur européen de la protection des données. Des échanges ont également été engagés avec les entités potentiellement affectées dès le 31 mars.
L’analyse complète des données exfiltrées est toujours en cours. Compte tenu du volume et de la complexité des fichiers, ce travail devrait s’inscrire dans la durée. En toile de fond, CERT-EU alerte sur la montée en puissance des attaques par supply chain, désormais capables de compromettre des infrastructures cloud mutualisées et d’étendre leur impact à l’ensemble d’un écosystème.
