🏛️ Contexte

Le 2 avril 2026, CERT-EU publie un post-mortem détaillé sur un incident de cybersécurité majeur ayant affecté la plateforme web publique de la Commission européenne (europa.eu), hébergée sur Amazon Web Services (AWS). L’incident a été notifié à CERT-EU le 25 mars 2026, conformément à l’article 21 du Règlement (UE, Euratom) 2023/2841.

🔓 Vecteur d’accès initial

L’accès initial a été obtenu le 19 mars 2026 via la compromission de la chaîne d’approvisionnement de Trivy, un outil de scan de vulnérabilités, attribuée avec haute confiance au groupe TeamPCP (attribution publique par Aqua Security). La Commission européenne utilisait une version compromise de Trivy reçue via ses canaux normaux de mise à jour logicielle.

Le même jour, le threat actor a :

  • Obtenu une clé API AWS (secret) avec droits de gestion sur d’autres comptes AWS de la Commission
  • Lancé TruffleHog pour scanner des secrets supplémentaires et valider des credentials AWS via le service STS (Security Token Service)
  • Créé et attaché une nouvelle clé d’accès à un utilisateur existant pour éviter la détection
  • Conduit des activités de reconnaissance

📊 Données exfiltrées

  • Volume : ~91,7 Go compressés (340 Go non compressés)
  • Périmètre : jusqu’à 71 clients du service d’hébergement web Europa (42 clients internes de la Commission + au moins 29 autres entités de l’Union)
  • Contenu confirmé : noms, prénoms, noms d’utilisateur, adresses email, contenu d’emails (51 992 fichiers, 2,22 Go)
  • Publication : le 28 mars 2026, le groupe ShinyHunters a publié le dataset sur son site de fuite dark web

📅 Chronologie

Date Événement
19/03/2026 Compromission via Trivy, obtention de la clé AWS, lancement de TruffleHog
24/03/2026 Alertes CSOC sur abus d’API Amazon et trafic réseau anormal
25/03/2026 Notification à CERT-EU, sécurisation du secret compromis
27/03/2026 Communiqué de presse de la Commission européenne
28/03/2026 Publication des données par ShinyHunters
31/03/2026 Communication directe avec les clients impactés

🎯 TTPs identifiées

  • T1195.002 – Supply Chain Compromise (Trivy)
  • T1586.003 / T1078.004 – Compromission et utilisation de comptes cloud AWS
  • T1005 – Exfiltration de données locales
  • Utilisation de TruffleHog pour la découverte de secrets
  • Canaux d’exfiltration : domaines typosquattés, dépôts GitHub, tunnels Cloudflare

📋 Type d’article

Post-mortem officiel publié par CERT-EU en coordination avec la Commission européenne, visant à informer la communauté CTI sur l’incident, ses causes, son impact et les mesures de réponse prises.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1586.003 — Compromise Accounts: Cloud Accounts (Resource Development)
  • T1078.004 — Valid Accounts: Cloud Accounts (Defense Evasion)
  • T1005 — Data from Local System (Collection)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1098.001 — Account Manipulation: Additional Cloud Credentials (Persistence)

Malware / Outils

  • TruffleHog (tool)
  • Trivy (tool)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ✅ cert.europa.eu — source reconnue (liste interne) (20pts)
  • ✅ 14144 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : TeamPCP, ShinyHunters (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://cert.europa.eu/blog/european-commission-cloud-breach-trivy-supply-chain