Source: Bitdefender — Bitdefender rapporte que l’Agence spatiale européenne (ESA) a confirmé une nouvelle violation de cybersécurité impliquant des serveurs externes utilisés pour des activités d’ingénierie collaborative, tandis qu’un acteur malveillant revendique une exfiltration massive.

— Contexte et confirmation officielle —

  • L’ESA indique que des pirates ont obtenu un accès non autorisé à des serveurs situés hors de son réseau d’entreprise.
  • L’agence précise que « seul un très petit nombre de serveurs externes » pourrait être concerné et qu’ils supportent des activités d’ingénierie collaborative « non classifiées ».
  • Une analyse de sécurité judiciaire est en cours et des mesures ont été prises pour sécuriser les appareils potentiellement affectés.

— Revendications et portée potentielle —

  • Des captures d’écran partagées par BleepingComputer, attribuées à un acteur sur des forums clandestins, suggèrent un accès aux systèmes internes de l’ESA tels que JIRA et Bitbucket, apparemment pendant une semaine.
  • L’acteur affirme avoir exfiltré environ 200 Go de données, dont des « documents classifiés », des fichiers de configuration, des identifiants et des fichiers source.
  • L’ampleur exacte de la violation demeure limitée par les informations disponibles, l’enquête étant toujours en cours.

— Rappels d’incidents précédents —

  • Fin décembre 2024, la boutique en ligne officielle de l’ESA a subi une attaque de chaîne d’approvisionnement via injection JavaScript dans le paiement, redirigeant vers une fausse page Stripe pour voler des données de carte. La boutique a été mise hors ligne et le code malveillant retiré.
  • En 2015, une attaque liée à Anonymous exploitant une injection SQL a exposé des informations de personnel et d’abonnés, dont plus de 8 000 mots de passe, e-mails et autres données.

— IOCs et TTPs —

  • IOCs: non communiqués.
  • TTPs (incident actuel):
    • Accès non autorisé à des serveurs externes hors réseau d’entreprise.
    • Persistance présumée d’environ une semaine sur des services internes (JIRA, Bitbucket).
    • Exfiltration de données (~200 Go) incluant documents, configs, identifiants et code source.
  • TTPs (incidents antérieurs):
    • Injection JavaScript côté client dans le parcours de paiement (fausse interface Stripe) — attaque de chaîne d’approvisionnement.
    • Injection SQL (2015) menant à une fuite d’identifiants et d’e-mails.

Il s’agit d’un article de presse spécialisé visant à informer sur une violation en cours d’investigation à l’ESA et à rappeler des incidents antérieurs pertinents.

🔗 Source originale : https://www.bitdefender.com/fr-fr/blog/hotforsecurity/lagence-spatiale-europeenne-confirme-une-nouvelle-violation-de-donnees