Post-Mortem

🏛️ Contexte Le 2 avril 2026, CERT-EU publie un post-mortem détaillé sur un incident de cybersécurité majeur ayant affecté la plateforme web publique de la Commission européenne (europa.eu), hébergée sur Amazon Web Services (AWS). L’incident a été notifié à CERT-EU le 25 mars 2026, conformément à l’article 21 du Règlement (UE, Euratom) 2023/2841. 🔓 Vecteur d’accès initial L’accès initial a été obtenu le 19 mars 2026 via la compromission de la chaîne d’approvisionnement de Trivy, un outil de scan de vulnérabilités, attribuée avec haute confiance au groupe TeamPCP (attribution publique par Aqua Security). La Commission européenne utilisait une version compromise de Trivy reçue via ses canaux normaux de mise à jour logicielle. ...

🏦 Contexte Source : The Cyber Express, publié le 2 avril 2026. L’article présente une réponse exclusive du Secrétaire général de l’autorité italienne de protection des données (Garante), Luigi Montuori, sur l’affaire Intesa Sanpaolo, déjà sanctionnée par une amende de 31,8 millions d’euros. 🔍 Nature de l’incident L’incident implique un employé interne d’Intesa Sanpaolo qui a accédé de manière répétée et sans justification professionnelle aux données de plus de 3 500 clients, dont des personnes politiquement exposées et des personnalités de haut profil. L’accès non autorisé s’est étalé sur plus de deux ans sans déclencher aucune alerte. ...

Source: Trigger.dev (blog) — Post‑mortem publié par le CTO Eric Allam le 28 novembre 2025, décrivant une compromission le 25 novembre 2025 via le ver supply chain Shai‑Hulud 2.0 diffusé dans l’écosystème npm. Résumé de l’incident Un ingénieur installe un package compromis (via pnpm install) exécutant un script preinstall qui déploie TruffleHog pour exfiltrer des identifiants (GitHub, AWS, npm, variables d’environnement) et les pousser vers des dépôts GitHub éphémères. L’attaquant mène ~17 h de reconnaissance (clonage massif de 669 dépôts depuis infrastructures US/Inde), surveille l’activité de l’ingénieur, puis lance une phase destructrice: force‑push de commits « init » attribués à « Linus Torvalds <[email protected]> » et fermeture de PRs (199 branches touchées, 42 PRs fermées). Certaines tentatives sont bloquées par la protection de branche. Détection rapide via une avalanche d’alertes Slack; en 4 minutes le compte compromis est retiré de l’organisation, stoppant l’attaque. Pas d’accès en écriture aux ressources AWS ni de compromission des packages npm de Trigger.dev. Impact et périmètre ...

Selon Cloudflare (blog), un incident de disponibilité le 5 décembre 2025 a provoqué des erreurs HTTP 500 durant ~25 minutes, sans cyberattaque, lors d’un changement de configuration du WAF effectué pour protéger contre la vulnérabilité critique CVE-2025-55182 affectant React Server Components. Impact: ~28 % du trafic HTTP servi par Cloudflare touché entre 08:47 et 09:12 UTC. Les clients impactés étaient ceux dont le trafic passait par l’ancien proxy FL1 avec les Cloudflare Managed Rulesets activés; presque toutes les requêtes renvoyaient HTTP 500, à l’exception de quelques endpoints de test (ex.: /cdn-cgi/trace). Le réseau Chine n’a pas été impacté. ⏱️ ...

Selon PostHog (posthog.com), un ver auto‑réplicant nommé Shai‑Hulud 2.0 a compromis plusieurs de ses SDK JavaScript publiés sur npm le 24 novembre 2025, après le vol d’un token GitHub et l’abus d’un workflow GitHub Actions. Nature de l’attaque: supply chain avec ver auto‑réplicant 🪱. Des versions npm malveillantes contenaient un script preinstall qui exécutait TruffleHog pour scanner et voler des identifiants, les exfiltrait en créant un dépôt GitHub public, puis utilisait d’éventuels tokens npm trouvés pour publier d’autres paquets compromis, propageant ainsi l’infection. ...

Selon le blog BushidoToken (référence fournie), l’ICO a sanctionné Capita d’une amende de 14 M£ à la suite d’une attaque BlackBasta en mars 2023 ayant compromis plus de 6 millions d’enregistrements, pour un coût de remédiation pouvant atteindre 20 M£. L’analyse met en lumière des failles systémiques (alertes manquées pendant 58 heures, SOC sous-doté, segmentation AD insuffisante, recommandations de tests d’intrusion non mises en œuvre) et en tire des enseignements concrets pour les équipes sécurité. ...

Source: BleepingComputer — La CISA a indiqué que des attaquants ont compromis le réseau d’une agence civile du pouvoir exécutif américain (FCEB) l’an dernier en exploitant une instance GeoServer non patchée. En 2024, des acteurs malveillants ont compromis le réseau d’une agence fédérale civile américaine suite à l’exploitation d’une vulnérabilité critique de type exécution de code à distance (RCE), référencée CVE-2024-36401, dans un serveur GeoServer non patché. Cette faille affecte les versions antérieures à 2.23.6, 2.24.4 et 2.25.2 et provient d’une mauvaise évaluation sécurisée des expressions XPath via la bibliothèque GeoTools, permettant à un attaquant non authentifié de lancer du code arbitraire. Le correctif a été publié le 18 juin 2024. ...

Source: news.sophos.com (Ross McKerchar) — Sophos décrit un incident survenu en mars 2025 où un employé a été piégé par un e‑mail de phishing, a saisi ses identifiants sur une fausse page de connexion, permettant un contournement de MFA, et détaille comment l’attaque a été contenue par une défense de bout en bout. Un RCA (root cause analysis) externe est publié sur le Trust Center. • Incident: un hameçonnage a conduit à la saisie d’identifiants sur une page factice, suivi d’un contournement de l’authentification multifacteur. L’acteur menaçant a tenté d’entrer dans le réseau mais a échoué 🛡️. ...

Selon The Record, dans un post-mortem de l’incident, l’Inspectrice générale de Baltimore, Isabel Mercedes Cumming, pointe des défaillances du service des comptes à payer. Le rapport souligne que le département n’a pas mis en œuvre des mesures correctives malgré des incidents de fraude antérieurs. 🧾 Il indique également l’absence de protections adéquates pour vérifier les détails des fournisseurs, un manque de contrôles qui a contribué à l’incident analysé. Ce contenu est une synthèse d’un post-mortem institutionnel, centrée sur les manquements procéduraux et les contrôles insuffisants au sein d’un service financier municipal. ...

Le blog d’Expel a publié une mise à jour importante concernant une erreur dans un article sur une attaque de phishing, initialement publié le 17 juillet 2025. L’article original affirmait qu’une nouvelle forme d’attaque de phishing permettait à un attaquant de contourner une connexion protégée par une clé FIDO en utilisant une authentification cross-device, même sans proximité avec le dispositif authentifiant. Cependant, après consultation avec la communauté de la sécurité, Expel a reconnu que cette affirmation était incorrecte. ...