92 gigaoctets de données volées, 52 000 fichiers d’emails aspirés, et les informations personnelles de fonctionnaires de 29 institutions européennes publiées en ligne. La Commission européenne vient de se faire pirater via un outil de sécurité censé la protéger.
Un logiciel de protection retourné contre ses utilisateurs
Tout commence le 19 mars 2026. Un groupe de cybercriminels connu sous le nom de TeamPCP piège Trivy, un logiciel open source utilisé par des milliers d’entreprises et d’institutions pour détecter les failles de sécurité dans leurs systèmes cloud. En infiltrant le code source de cet outil, les pirates récupèrent une clé secrète d’accès au compte Amazon Web Services (AWS) de la Commission européenne. La Commission utilisait précisément Trivy pour se protéger. Elle a téléchargé une version piégée via ses canaux de mise à jour habituels, sans se douter de rien.
Avec cette clé, les hackers prennent le contrôle du compte cloud et aspirent 91,7 gigaoctets de données compressées, soit environ 340 gigaoctets une fois décompressés. Le CERT-EU, l’agence de cybersécurité de l’Union européenne, détaille la chronologie dans un rapport publié jeudi 2 avril : noms, prénoms, adresses email, contenus de messages électroniques. Le tout provient de la plateforme Europa.eu, le réseau de sites qui héberge les publications officielles des institutions européennes.
Deux groupes pirates, un même butin
Le 28 mars, les données volées apparaissent sur un site du dark web. Ce n’est pas TeamPCP qui les publie, mais ShinyHunters, un autre groupe spécialisé dans les fuites massives. Un de ses membres a expliqué à TechCrunch avoir dérobé une partie des données que TeamPCP avait déjà volées lors d’attaques antérieures, puis les avoir mises en ligne.
Deux gangs distincts, un même trésor. L’attribution de l’attaque à deux groupes différents est inhabituelle, relève TechCrunch, et complique la réponse des autorités. CERT-EU pointe TeamPCP comme responsable de l’intrusion initiale, tandis que ShinyHunters s’est chargé de rendre le butin accessible à tous.
500 000 machines infectées, 300 gigaoctets de secrets volés
L’attaque contre la Commission n’est que la partie visible d’une campagne bien plus large. Selon Palo Alto Networks Unit 42, TeamPCP a compromis plusieurs outils de sécurité open source entre fin février et mars 2026 : Trivy, mais aussi KICS (un scanner d’infrastructure) et LiteLLM (une passerelle pour modèles d’IA qui revendique 95 millions de téléchargements mensuels). Le groupe aurait exfiltré plus de 300 gigaoctets de données et récupéré 500 000 identifiants provenant de machines infectées dans le monde entier, d’après l’organisme de veille vx-underground.
Le mode opératoire est redoutable : les pirates injectent du code malveillant directement dans les processus d’intégration continue (CI/CD), ces chaînes automatisées que les développeurs utilisent pour tester et déployer leurs logiciels. Une fois en place, le malware siphonne silencieusement les jetons d’accès cloud, les clés SSH et les secrets Kubernetes. Autrement dit, les clés de voûte de l’infrastructure informatique des entreprises et des institutions ciblées.
La Commission a mis cinq jours à réagir
La chronologie publiée par CERT-EU révèle un délai significatif. L’intrusion a lieu le 19 mars. Les premières alertes internes remontent au 24 mars, quand le centre de cybersécurité de la Commission détecte un usage anormal des API Amazon, une possible compromission de compte et un volume de trafic réseau inhabituel. CERT-EU est prévenu le 25 mars. La Commission publie un communiqué le 27 mars, trois jours avant que ShinyHunters ne diffuse les données le 28.
La Commission assure avoir immédiatement révoqué les accès compromis et désactivé les clés piratées. Elle a notifié le Contrôleur européen de la protection des données (CEPD) et commencé à contacter les 71 clients du service d’hébergement Europa.eu potentiellement touchés : 42 services internes de la Commission et au moins 29 autres entités de l’Union. Aucun site web n’a été modifié ou mis hors ligne.
TeamPCP, du minage de cryptomonnaies au rançongiciel d’État
TeamPCP (aussi appelé PCPcat ou ShellForce) opère au moins depuis septembre 2025, selon Unit 42. Le groupe s’est d’abord fait connaître dans le minage illicite de cryptomonnaies et les campagnes de rançongiciels, avant de pivoter vers les attaques par chaîne d’approvisionnement à la mi-mars 2026. Il a récemment annoncé des partenariats avec d’autres groupes criminels (CipherForce, Vect) pour publier les données volées, signe d’une professionnalisation croissante.
Le rapport de Palo Alto Networks décrit un arsenal en évolution rapide. TeamPCP a développé CanisterWorm, un outil doté d’une architecture de commandement décentralisée et de composants capables d’effacer les données des victimes. Le groupe a compromis 48 paquets logiciels supplémentaires au-delà de ses cibles initiales, et revendiqué publiquement des attaques contre au moins 16 organisations.
Le piège de l’open source mal surveillé
Cette attaque illustre un angle mort majeur de la cybersécurité moderne. Les outils open source comme Trivy sont omniprésents dans les infrastructures critiques. Ils sont gratuits, puissants, et font l’objet d’audits communautaires. Mais leur chaîne de mise à jour repose sur la confiance. Il suffit de compromettre un seul compte de contributeur (ici, le compte aqua-bot sur GitHub) pour injecter du code malveillant dans des milliers d’environnements de production.
CERT-EU recommande aux organisations de vérifier immédiatement si elles utilisent des versions compromises de Trivy, KICS ou LiteLLM, de procéder à une rotation de toutes leurs clés d’accès cloud, et de durcir leurs politiques CI/CD. Aqua Security, l’éditeur de Trivy, a publié un correctif et un avis de sécurité détaillé.
L’analyse complète des bases de données exfiltrées est toujours en cours. Compte tenu du volume (340 Go décompressés), CERT-EU prévient que de nouvelles révélations sur les données exposées pourraient émerger dans les semaines à venir. La Commission, fermée cette semaine, n’a pas encore répondu aux demandes de commentaires de la presse.
