350 Go dans la nature : la Commission piratée sur son infra AWS

Le 28 mars, le groupe ShinyHunters a mis en ligne 340 Go de données de la Commission européenne. Emails, bases de données, documents internes — le tout exfiltré depuis l’infrastructure AWS d’Europa.eu. Selon BleepingComputer, 71 entités de l’Union sont potentiellement touchées. Et ShinyHunters n’a même pas demandé de rançon. Ils ont tout publié gratuitement.

Le timing qui achève la crédibilité

Trois jours après la publication des données, le Forum InCyber ouvrait ses portes à Lille. Le thème de l’édition 2026 ? Selon le ministère des Armées, c’est “Maîtriser nos dépendances numériques”. On ne peut pas inventer un timing pareil.

Le baromètre InCyber/CESIN est sans appel : 53 % des entreprises signalent une hausse des menaces d’origine étatique. Deux tiers des organisations se déclarent préoccupées par la souveraineté et le cloud de confiance. Pendant que la profession débattait de dépendances numériques dans les salons lillois, la Commission gérait la diffusion de ses propres données sur le dark web.

71 entités, 52 000 emails, zéro rançon

L’ampleur dépasse ce que la communication de crise laissait entendre. Selon le CERT-EU, 42 services internes de la Commission et 29 autres entités de l’Union sont concernés. 51 992 fichiers email. Des clés DKIM. Des sauvegardes de bases de données complètes. Le tout publié sans négociation — une humiliation méthodique.

La Commission a répondu que “les systèmes internes n’ont pas été affectés”. AWS, de son côté, a déclaré que ses services “ont fonctionné comme prévu”. On appréciera la nuance : 340 Go de données européennes dans la nature, mais techniquement tout va bien.

Le législateur qui ne s’applique pas ses propres règles

Voilà l’institution qui impose NIS2 aux entreprises européennes, qui négocie la certification EUCS pour le cloud, qui a renforcé le RGPD. Mais qui héberge ses propres données chez un hyperscaler américain soumis au Cloud Act.

Et l’ironie ne s’arrête pas là. Selon Secuslice, l’EUCS autorise désormais un cloud certifié “High” tout en étant soumis à des législations étrangères. La Commission a elle-même abandonné les critères de souveraineté au niveau le plus élevé de sa propre certification. La France plaidait pour une protection rigoureuse. La majorité des États membres a préféré la flexibilité — comprendre : ne pas froisser les hyperscalers américains.

Si l’institution qui écrit les règles ne les applique pas à elle-même, quelle crédibilité reste-t-il pour exiger leur respect par les PME ?

Accuser AWS, c’est passer à côté du problème

Mais pointer AWS comme coupable serait une erreur d’analyse. AWS n’a pas été piraté. C’est la chaîne logicielle de la Commission qui l’a été.

Selon le CERT-EU, le vecteur d’attaque est une compromission supply chain de l’outil Trivy, un scanner de sécurité d’AquaSecurity. Le 19 mars, une version corrompue a permis au groupe TeamPCP d’obtenir une clé API AWS. La Commission a reçu cette version via ses propres canaux de mise à jour. L’intrus a ensuite utilisé TruffleHog pour scanner d’autres credentials — et les a trouvés.

Le problème n’est pas qu’Europa.eu soit hébergé chez AWS plutôt que chez OVH ou Scaleway. Le problème, c’est une clé API avec des droits d’administration obtenue via une dépendance logicielle non auditée, et une intrusion détectée cinq jours après l’accès initial.

C’est exactement ce qu’on observe chez nos clients PME. La croyance qu’un hébergeur “souverain” ou “certifié” suffit à protéger les données. La réalité : la majorité des brèches viennent de credentials mal gérés, de supply chains non auditées et d’un manque de monitoring. Pas du lieu d’hébergement.

Ce que votre PME doit en retenir

La sécurité n’est ni un drapeau, ni un label. C’est une pratique quotidienne. Si la Commission européenne, avec ses équipes CERT-EU et ses budgets cybersécurité, peut se faire exfiltrer 340 Go via une dépendance logicielle compromise, votre PME doit prendre les fondamentaux au sérieux.

Concrètement : quelles dépendances tierces ont accès à vos secrets de production ? Quand avez-vous fait une rotation de vos clés API pour la dernière fois ? Votre dépendance aux outils SaaS est-elle cartographiée ?

La souveraineté numérique est un sujet politique légitime. Mais ce n’est pas elle qui vous protégera d’un supply chain attack un mardi matin. Ce qui vous protège, c’est la rigueur opérationnelle. Et ça, c’est à votre portée.