La Commission européenne adore donner des leçons. Avec les directives NIS2 et le Cyber Resilience Act, elle impose aux entreprises des standards de sécurité drastiques et des délais de réaction ultra-courts. Mais en interne, c'est la Bérézina. Le rapport du CERT-EU vient de tomber. Il est accablant. Ce n'est plus une simple fuite, c'est une hémorragie de données massive orchestrée par le groupe TeamPCP.
Le loup dans la bergerie open source
Tout commence par une erreur de débutant – ou un excès de confiance impardonnable. Le 19 mars, des développeurs de la Commission utilisent Trivy. Jusque-là, rien d'anormal. C'est un outil de scan de vulnérabilités très populaire. Sauf que la version utilisée était vérolée. Un "Trojan" au cœur même de l'outil censé vous protéger. L'ironie est mordante.
En piégeant cet outil de la chaîne de développement (ce qu'on appelle une attaque sur la Supply Chain), les attaquants ont récupéré le Graal : une clé d'accès AWS (Amazon Web Services). C'est comme si un vigile donnait le pass général de l'immeuble à un cambrioleur sous prétexte de vérifier les serrures.
Une fois à l'intérieur, les pirates n'ont pas traîné. Ils ont déployé TruffleHog, un logiciel spécialisé dans la traque d'identifiants oubliés dans le code source. Ils ont fouillé, scanné, et créé de nouvelles clés pour se fondre dans la masse. Un travail de pro. Le résultat ? Cinq jours de silence radio. Le centre opérationnel de la Commission n'a vu le feu que le 24 mars. C'est interminable pour une institution qui exige des autres une alerte en 24 heures.
340 Go sur le Dark Web : le bilan du désastre
Le 28 mars, le verdict tombe sur le site de ShinyHunters, un groupe d'extorsion bien connu. L'archive est là : 90 Go compressés. Une fois ouverte, elle recèle 340 Go de données brutes. Le butin est colossal.
- 30 entités de l'Union compromises (agences, bureaux internes, organes de décision).
- 51 992 fichiers d'emails en libre accès.
- Identifiants, adresses et contenus de messages exposés.
Mais le plus grave se cache dans les détails techniques. Les attaquants auraient mis la main sur les clés DKIM de la Commission.
C'est quoi ? Imaginez un tampon officiel de la Poste qui garantit l'authenticité d'une lettre. Avec ces clés, n'importe quel pirate peut envoyer un email qui semble provenir officiellement d'une adresse @europa.eu. Pour un diplomate ou un fonctionnaire d'un État membre, c'est le piège parfait. Une campagne de phishing (hameçonnage) devient alors indétectable par les filtres classiques.
L'hypocrisie du "Faites ce que je dis, pas ce que je fais"
C'est la deuxième fois en trois mois que Bruxelles se fait percer. En février, c'était la gestion des mobiles qui flanchait. Aujourd'hui, c'est le Cloud.
Pourquoi est-ce systémique ? Souvent, les grandes institutions souffrent de Shadow IT (des outils installés sans aval officiel) ou d'une confiance aveugle dans les outils Open Source. On pense qu'un logiciel ouvert est forcément sûr parce que "tout le monde peut voir le code". C'est un mythe. Si personne ne vérifie l'intégrité de la version téléchargée, la porte reste ouverte.
Comment ne pas finir comme la Commission ?
L'incident de la plateforme Europa doit servir de leçon. Voici comment verrouiller vos accès avant qu'il ne soit trop tard :
- Vérifiez vos signatures numériques : Ne téléchargez jamais un outil (même gratuit et connu) sans vérifier son "hash" (sa signature unique) pour être certain qu'il n'a pas été modifié.
- Appliquez le principe du "Moindre Privilège" : Une clé AWS ne devrait jamais avoir tous les droits. Si elle est volée, les dégâts doivent être limités à une petite zone. Cloisonnez. Toujours.
- Rotation des secrets : Changez vos clés d'accès et vos mots de passe API régulièrement. Une clé volée doit devenir inutile en quelques jours, pas en quelques mois.
- Surveillez l'activité inhabituelle : La création d'une nouvelle clé d'accès sur un compte existant est un signal d'alarme critique. Si vous ne l'avez pas générée vous-même, débranchez tout.
La cybersécurité n'est pas une check-list administrative. C'est une guerre de mouvement. La Commission européenne vient de l'apprendre à ses dépens. Une fois de plus.