🔍 Contexte

Source : BleepingComputer, publié le 28 mars 2026. La Commission Européenne, organe exécutif principal de l’Union Européenne, fait l’objet d’une enquête interne suite à une violation de sécurité affectant son environnement cloud Amazon Web Services (AWS).

🚨 Incident

Un acteur malveillant non identifié a obtenu un accès non autorisé à au moins un compte AWS de la Commission Européenne. L’attaque a été rapidement détectée et l’équipe de réponse aux incidents cybersécurité de la Commission est en cours d’investigation. AWS a précisé qu’aucun incident de sécurité n’a affecté ses propres services.

📦 Données volées

L’acteur malveillant a contacté BleepingComputer pour revendiquer l’attaque et affirme avoir exfiltré :

  • Plus de 350 Go de données, incluant plusieurs bases de données
  • Des informations appartenant à des employés de la Commission Européenne
  • Des données provenant d’un serveur de messagerie utilisé par les employés de la Commission

Des captures d’écran ont été fournies comme preuve d’accès. L’acteur a déclaré ne pas avoir l’intention d’extorquer la Commission, mais prévoit de publier les données en ligne ultérieurement.

🔗 Contexte d’incidents récents

Cet incident s’inscrit dans une série de violations récentes :

  • Janvier 2026 : La plateforme de gestion des appareils mobiles (MDM) de la Commission a été compromise (divulgué en février), liée à des vulnérabilités d’injection de code dans Ivanti EPMM
  • Des attaques similaires ont ciblé l’Autorité néerlandaise de protection des données et Valtori (agence gouvernementale finlandaise)
  • Le 20 janvier 2026, la Commission avait proposé une nouvelle législation cybersécurité
  • La semaine précédente, le Conseil de l’UE avait sanctionné trois entreprises chinoises et iraniennes pour cyberattaques contre des infrastructures critiques

📌 Type d’article

Annonce d’incident — L’article vise à informer sur une violation de sécurité en cours affectant une institution européenne majeure, en s’appuyant sur des sources internes et le contact direct avec l’acteur malveillant.

🧠 TTPs et IOCs détectés

TTP

  • T1530 — Data from Cloud Storage (Collection)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1048 — Exfiltration Over Alternative Protocol (Exfiltration)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/european-commission-investigating-breach-after-amazon-cloud-hack/