350 gigaoctets. C’est le volume de données que des pirates affirment avoir siphonné depuis l’infrastructure cloud de la Commission européenne, hébergée chez Amazon Web Services. L’attaque, survenue le 24 mars 2026, n’a été rendue publique que trois jours plus tard, après que le pirate a contacté plusieurs médias pour exhiber ses preuves.
L’institution qui impose les normes de cybersécurité les plus strictes au monde vient de se faire cambrioler pour la deuxième fois en huit semaines. Et cette fois, l’intrus ne demande pas de rançon : il promet de tout publier.
Le cloud Amazon de Bruxelles éventré
Selon les informations recoupées par BleepingComputer, TechCrunch et Bloomberg, l’attaque a ciblé au moins un compte AWS utilisé par la Commission pour héberger sa présence web sur la plateforme Europa.eu. Le pirate a fourni aux journalistes de BleepingComputer des captures d’écran montrant un accès aux données de fonctionnaires européens et à un serveur de messagerie interne.
Dans un communiqué publié sur son site, la Commission confirme « une cyberattaque ayant touché l’infrastructure cloud hébergeant la présence web de la Commission sur la plateforme Europa.eu ». Elle ajoute que « les premières conclusions de l’enquête en cours suggèrent que des données ont été extraites des sites Europa ». Les systèmes internes de la Commission, précise-t-elle, n’auraient pas été compromis.
Amazon, de son côté, a tenu à se démarquer : « AWS n’a pas subi d’incident de sécurité, et nos services ont fonctionné comme prévu », a déclaré un porte-parole à BleepingComputer. Autrement dit, la faille ne vient pas du fournisseur cloud, mais de la manière dont la Commission gère ses propres comptes.
Un pirate qui refuse de marchander
Le profil de l’attaquant sort de l’ordinaire. Contrairement aux groupes de ransomware qui exigent un paiement pour ne pas divulguer les données volées, ce pirate a explicitement déclaré à BleepingComputer qu’il ne tenterait aucune extorsion. Son intention affichée : diffuser les 350 Go de données, incluant plusieurs bases de données, sur internet à une date ultérieure.
Pour Ilia Kolochenko, PDG de la société suisse de cybersécurité ImmuniWeb, ce comportement pointe vers deux hypothèses : des hacktivistes ou des cyber-mercenaires opérant pour le compte d’un État. « Vu la turbulence géopolitique mondiale, ces attaques vont probablement se multiplier en 2026 », a-t-il déclaré à CSO Online. « Les attaquants investissent temps et ressources dans des campagnes sophistiquées contre les organisations les mieux protégées. »
Deux brèches en huit semaines, un schéma inquiétant
Ce piratage n’est pas un incident isolé. Le 30 janvier, la Commission avait déjà révélé une première brèche touchant sa plateforme de gestion des appareils mobiles (MDM). Des noms et numéros de téléphone de fonctionnaires avaient alors été exposés. Cette intrusion avait été reliée à l’exploitation de vulnérabilités dans le logiciel Ivanti Endpoint Manager Mobile (EPMM), le même vecteur d’attaque utilisé contre l’autorité néerlandaise de protection des données et Valtori, une agence gouvernementale finlandaise.
Deux incidents de cette ampleur en si peu de temps posent une question gênante : comment l’organe exécutif qui a conçu le RGPD, le Cybersecurity Act et le tout récent paquet cybersécurité de janvier 2026 peut-il se retrouver aussi vulnérable ? Kellman Meghu, directeur technique de la firme canadienne DeepCove Cybersecurity, avance un élément de réponse à BleepingComputer : « La gestion des identités et des accès est difficile, et pas seulement sur AWS. C’est le même défi avec toute infrastructure. Il suffit d’une seule erreur. »
La gestion des accès cloud, talon d’Achille des institutions
L’un des points les plus révélateurs de cette affaire concerne la distinction entre la sécurité du fournisseur cloud et celle du client. AWS a clairement indiqué que ses services n’étaient pas en cause. Le problème réside dans la configuration des comptes, la gestion des clés d’accès et les politiques d’authentification mises en place par la Commission elle-même.
Meghu recommande une approche qu’il applique à ses propres clients : forcer tous les utilisateurs à passer par AWS Identity Center, éliminer les clés IAM générées manuellement et isoler les comptes par environnement (développement, test, production) via AWS Organizations. L’accès aux comptes administrateurs devrait exiger l’authentification conjointe de deux personnes, selon une stratégie dite « break glass ». « Je vis dans la peur constante que ce genre de chose arrive », reconnaît-il.
Cette architecture de sécurité, courante dans le secteur privé, semble ne pas avoir été appliquée avec la même rigueur au sein de la Commission. L’institution gère des dizaines de services, des centaines de sous-domaines et potentiellement des milliers de comptes d’accès. Chaque point d’entrée représente une surface d’attaque.
L’Europe légifère, mais ne se protège pas
Le timing de ce piratage est particulièrement cruel. Le 20 janvier 2026, la Commission avait présenté un nouveau paquet législatif sur la cybersécurité, visant à renforcer les défenses contre les acteurs étatiques et les groupes cybercriminels ciblant les infrastructures critiques européennes. La semaine dernière, le Conseil de l’UE avait sanctionné trois entreprises chinoises et iraniennes pour des cyberattaques contre des infrastructures d’États membres.
Comme le souligne Kolochenko, « cet incident est un avertissement sévère : la réglementation européenne de la cybersécurité, que certains experts jugent excessive et inutilement complexe, n’est pas une panacée contre les violations de données ». Engadget note que les deux brèches récentes semblent moins graves que l’opération Salt Typhoon qui avait compromis les télécoms américains en 2024, permettant à des hackers liés à la Chine d’accéder aux données de responsables politiques américains. Mais la répétition des incidents à Bruxelles fragilise la crédibilité de l’UE en tant que modèle mondial de cybersécurité.
L’enquête est toujours en cours. La Commission a indiqué notifier « les entités de l’Union susceptibles d’avoir été affectées ». Quant au pirate, il n’a pas encore mis sa menace à exécution. Les 350 Go de données restent, pour l’instant, en attente de publication.
