AWS

🏛️ Contexte Le 2 avril 2026, CERT-EU publie un post-mortem détaillé sur un incident de cybersécurité majeur ayant affecté la plateforme web publique de la Commission européenne (europa.eu), hébergée sur Amazon Web Services (AWS). L’incident a été notifié à CERT-EU le 25 mars 2026, conformément à l’article 21 du Règlement (UE, Euratom) 2023/2841. 🔓 Vecteur d’accès initial L’accès initial a été obtenu le 19 mars 2026 via la compromission de la chaîne d’approvisionnement de Trivy, un outil de scan de vulnérabilités, attribuée avec haute confiance au groupe TeamPCP (attribution publique par Aqua Security). La Commission européenne utilisait une version compromise de Trivy reçue via ses canaux normaux de mise à jour logicielle. ...

🔍 Contexte Source : BleepingComputer, publié le 30 mars 2026. La Commission européenne a officiellement confirmé une violation de données affectant sa plateforme web Europa.eu, suite à une cyberattaque revendiquée par le groupe d’extorsion ShinyHunters. 🎯 Nature de l’attaque L’attaque a ciblé au moins un compte AWS (Amazon Web Services) de la Commission européenne. Les systèmes internes de la Commission n’ont pas été affectés, et aucun site Europa n’a été perturbé. Les équipes ont pris des mesures de confinement pour stopper le vol de données. ...

🗓️ Contexte L’article est publié le 27 mars 2026 par TechCrunch (auteur : Zack Whittaker). Il rapporte la confirmation officielle par la Commission européenne d’une cyberattaque ayant ciblé son infrastructure cloud. 🎯 Nature de l’incident Des hackers ont compromis le compte Amazon Web Services (AWS) de la Commission européenne, hébergeant la présence web de l’institution sur la plateforme Europa.eu. Selon Bleeping Computer, qui a rapporté l’incident en premier, des centaines de gigaoctets de données ont été dérobés, incluant plusieurs bases de données. ...

🔍 Contexte Source : BleepingComputer, publié le 28 mars 2026. La Commission Européenne, organe exécutif principal de l’Union Européenne, fait l’objet d’une enquête interne suite à une violation de sécurité affectant son environnement cloud Amazon Web Services (AWS). 🚨 Incident Un acteur malveillant non identifié a obtenu un accès non autorisé à au moins un compte AWS de la Commission Européenne. L’attaque a été rapidement détectée et l’équipe de réponse aux incidents cybersécurité de la Commission est en cours d’investigation. AWS a précisé qu’aucun incident de sécurité n’a affecté ses propres services. ...

Selon The Register, ELECQ, fabricant de bornes de recharge intelligentes pour véhicules électriques, a informé ses clients qu’un rançongiciel a visé une partie de son infrastructure cloud, entraînant le chiffrement et la copie de données d’utilisateurs. Le 7 mars, ELECQ a détecté une activité inhabituelle sur sa plateforme AWS. L’enquête interne a mis en évidence une attaque par ransomware contre certains segments de l’infrastructure. L’entreprise a envoyé un avis aux clients, les prévenant que leurs données personnelles pourraient avoir été dérobées et confirmant que des données hébergées dans le cloud ont été chiffrées et copiées. ⚠️🔒 ...

Selon Data Center Dynamics, dans le contexte d’attaques iraniennes en riposte à des frappes US-israéliennes au Moyen-Orient, Amazon Web Services a confirmé que deux centres de données aux Émirats arabes unis ont été directement touchés par des frappes de drones, et qu’un troisième site à Bahreïn a été endommagé par une frappe à proximité. AWS indique que ces attaques ont causé des dégâts structurels, des coupures d’alimentation et, dans certains cas, des dommages liés aux systèmes d’extinction incendie (eau). Dans la région ME-CENTRAL-1, deux zones de disponibilité — mec1-az2 et mec1-az3 — restent fortement dégradées, tandis que mec1-az1 fonctionne normalement mais avec des impacts sur certains services dépendants. ⚠️ ...

Selon BleepingComputer, LexisNexis Legal & Professional a confirmé qu’un tiers non autorisé a accédé à un nombre limité de serveurs, après la mise en ligne par l’acteur FulcrumSec d’une archive de 2 Go présentée comme issue de l’entreprise. Type d’événement : violation de données et intrusion confirmées par LexisNexis L&P. L’entreprise indique que les informations dérobées seraient anciennes et majoritairement non critiques, incluant « certaines données clients et d’entreprise ». ...

Selon GreyNoise Labs, une campagne coordonnée de reconnaissance a visé les infrastructures Citrix ADC Gateway / Netscaler Gateway entre le 28 janvier et le 2 février 2026, combinant découverte de panneaux de connexion et divulgation de versions, avec un taux de ciblage de 79% sur des honeypots Citrix. Vue d’ensemble et objectifs. L’opération comprend deux volets complémentaires: 1) une découverte massive de panneaux de login (109 942 sessions, >63 000 IP sources) via rotation de proxys résidentiels, et 2) une divulgation de versions (1 892 requêtes) depuis 10 IP AWS sur une fenêtre concentrée de 6 heures. L’objectif apparent est de cartographier les instances Citrix exposées et énumérer les versions pour de potentielles étapes ultérieures. ...

Selon The Register, des chercheurs de Wiz ont dévoilé “CodeBreach”, une vulnérabilité de chaîne d’approvisionnement dans AWS CodeBuild due à des regex non ancrées dans les filtres de webhooks (ACTOR_ID), permettant de contourner les protections sur les pull requests non fiables. AWS a corrigé en septembre après divulgation en août et déclare qu’aucun environnement client ou service AWS n’a été impacté. Nature du problème: regex ACTOR_ID non ancrées (manque des caractères ^ et $) dans des projets CodeBuild publics connectés à GitHub. Cela autorisait des bypass de l’allowlist des mainteneurs si l’ID GitHub de l’attaquant contenait (superstring) l’ID autorisé. Wiz qualifie l’ensemble de “CodeBreach” et estime que l’impact potentiel aurait pu être “plus grave que SolarWinds”, touchant jusqu’au SDK JavaScript AWS utilisé par 66 % des environnements cloud, y compris la Console AWS. ...

Source : DeceptIQ — Article « Product Insights » signé Rad Kawar (14 décembre 2025). Le billet explique comment des « S3 honey buckets » permettent de rendre visible l’OSINT non authentifié contre AWS, offrant une détection très précoce dans la kill chain. Le texte décrit les pratiques d’énumération cloud côté adversaire et Red Team : sur Azure, des outils comme AADInternals et onedrive_user_enum; sur AWS, GrayHatWarfare et surtout cloud_enum qui teste des noms de buckets prévisibles (ex. « deceptiq-dev », « deceptiq-backup »). Pour AWS Apps (SSO), l’énumération DNS est indétectable, mais pour S3 c’est différent car la vérification passe par des requêtes HTTP vers les FQDN des buckets. ...