La Commission européenne piratée : quand le régulateur devient la preuve de ce qu'il dénonce
340 Go de données exfiltrées, 30 entités européennes touchées, des clés DKIM dans la nature. La Commission Européenne qui rédige NIS 2, le Cyber Resilience Act et le règlement sur la cybersolidarité vient de démontrer, à ses dépens, que les directives ne…

340 Go de données exfiltrées, 30 entités européennes touchées, des clés DKIM dans la nature. L'institution qui rédige NIS 2, le Cyber Resilience Act et le règlement sur la cybersolidarité vient de démontrer, à ses dépens, que les directives ne protègent pas contre les erreurs de configuration.
Il y a quelques jours, le groupe TeamPCP faisait les gros titres de la presse tech en compromettant LiteLLM, le package Python le plus populaire de l'écosystème IA, via la compromission préalable du scanner de vulnérabilités Trivy. Supply chain attack en cascade, pivoting de credentials, trois maillons, une semaine. 3,4 millions de téléchargements par jour. L'affaire avait déjà de quoi inquiéter.
Mais la suite est pire.
Le 3 avril 2026, le CERT-EU a publié son rapport d'analyse sur la cyberattaque qui a frappé la Commission européenne fin mars. Et la conclusion est sans ambiguïté : l'intrusion dans l'infrastructure cloud AWS de la Commission est passée par la même porte que LiteLLM. Trivy compromis, clé API AWS volée, pivot latéral, exfiltration massive. Même campagne. Même groupe. Même vecteur.
La Commission européenne, l'institution qui rédige les règles de cybersécurité pour 450 millions d'Européens, a été compromise par une supply chain attack identique à celle qui a touché une bibliothèque Python open source la semaine précédente. Et elle a mis cinq jours à s'en apercevoir.
La chronologie, telle que le CERT-EU la reconstitue
L'accès initial remonte au 19 mars 2026. La Commission a téléchargé, dans le cadre de ses processus normaux, une version compromise de Trivy. L'outil, détourné par TeamPCP lors de la campagne documentée par Wiz, Snyk et Palo Alto Networks, a permis aux attaquants de récolter une clé API AWS associée à l'infrastructure Europa.eu.
Cette clé disposait de droits de gestion sur d'autres comptes AWS de la Commission. Les attaquants ont ensuite utilisé TruffleHog pour scanner l'environnement à la recherche de secrets supplémentaires, validé les credentials AWS via le Security Token Service, puis créé et attaché une nouvelle clé d'accès à un utilisateur existant pour se fondre dans le trafic légitime.
Le Centre des opérations de sécurité de la Commission n'a déclenché aucune alerte avant le 24 mars. Cinq jours après l'intrusion initiale. Le CERT-EU a été notifié le 25 mars. L'accès a été révoqué le même jour.
Le 28 mars, ShinyHunters, le groupe d'extorsion qui opère BreachForums, a publié les données volées sur son site de fuites darkweb. 90 Go compressés, environ 340 Go décompressés.
Ce qui a été volé (et pourquoi c'est plus grave qu'une fuite classique)
Le CERT-EU confirme que le dataset contient des données personnelles (noms, prénoms, noms d'utilisateur, adresses email) provenant principalement des sites web de la Commission mais potentiellement liées à des utilisateurs de multiples entités de l'Union. 51 992 fichiers liés à des communications email sortantes, totalisant 2,22 Go. La plupart sont des notifications automatiques, mais les messages de « bounce-back » contiennent le contenu original soumis par les utilisateurs, ce qui crée un risque réel d'exposition de données personnelles.
Au total, 71 clients du service d'hébergement Europa sont potentiellement affectés : 42 entités internes à la Commission et au moins 29 autres organes de l'Union. Parmi les agences potentiellement touchées, selon les analyses des chercheurs : l'Agence européenne des médicaments, l'Autorité bancaire européenne, l'ENISA elle-même, et Frontex.
Mais le point le plus critique ne figure pas dans les emails. Ce sont les clés DKIM de la Commission qui ont été exfiltrées. DKIM (DomainKeys Identified Mail) est le mécanisme cryptographique qui authentifie qu'un email provient réellement du domaine qu'il prétend représenter. Avec ces clés, un attaquant peut forger des emails qui passent les contrôles d'authentification des domaines officiels de la Commission européenne. Des emails que les filtres antispam de 27 gouvernements membres, de l'OTAN, des partenaires commerciaux, des régulateurs, des milliers de lobbyistes laisseront passer parce qu'ils sont techniquement authentiques.
C'est du spear-phishing industriel avec une couverture d'authenticité que même les systèmes les plus avancés ne détecteront pas, tant que la Commission n'aura pas effectué une rotation complète de toutes les clés DKIM affectées. Et à ce jour, elle ne l'a pas confirmé.
La même campagne, encore et encore
L'attribution du CERT-EU est limpide : TeamPCP est responsable de l'intrusion, ShinyHunters de la publication. TechCrunch rapporte qu'un membre de ShinyHunters leur a confirmé en chat avoir volé des données que TeamPCP avait « précédemment prises dans des attaques antérieures ». Cette division du travail (un groupe pour l'accès initial et l'exfiltration, un autre pour l'extorsion et la publication) est un marqueur de professionnalisation de l'écosystème criminel.
La campagne TeamPCP, telle que documentée par CERT-EU, Wiz, Palo Alto Networks Unit 42, Endor Labs et Snyk, a touché en trois semaines cinq écosystèmes (GitHub Actions, Docker Hub, npm, Open VSX, PyPI) et des cibles allant de LiteLLM à Checkmarx KICS, de Telnyx à la Commission européenne elle-même. Mandiant estime que plus de 1 000 environnements SaaS sont activement impactés par les effets en cascade. Google Cloud évalue que « des centaines de milliers de secrets volés pourraient potentiellement être en circulation ».
Le schéma est toujours le même : compromettre un outil de sécurité ou d'infrastructure open source, récolter les credentials qui donnent accès à la cible suivante, pivoter, exfiltrer, passer au maillon suivant. La confiance transitive non vérifiée, transformée en arme offensive.
L'ironie structurelle
Et c'est ici que l'affaire cesse d'être un incident technique et devient un cas d'école en gouvernance.
La Commission européenne est l'institution qui a rédigé NIS 2, la directive qui impose aux entités critiques une détection des incidents en 24 heures et une notification rapide. La Commission a mis cinq jours à détecter l'intrusion dans son propre environnement cloud.
La Commission européenne est l'institution qui porte le Cyber Resilience Act, le règlement sur la cybersolidarité, et la refonte du règlement cybersécurité. En janvier 2026, dix jours avant la première brèche de l'année (le piratage de son MDM), elle présentait un nouveau paquet législatif destiné à renforcer les défenses collectives de l'Union.
La Commission européenne est l'institution qui promeut la souveraineté numérique européenne. Son infrastructure web est hébergée chez Amazon Web Services. Et la faille n'est pas venue d'AWS (Amazon a confirmé qu'aucun incident de sécurité n'avait touché ses services). Elle est venue d'une erreur de configuration et de gestion des accès dans l'environnement cloud de la Commission. La faille classique. Celle que NIS 2 est censée prévenir.
Ce n'est pas de l'ironie. C'est un stress test en conditions réelles. Et la Commission l'a échoué.
Ce que cette affaire révèle sur le facteur humain dans la gouvernance cyber
Il serait facile de se moquer. C'est d'ailleurs ce que font beaucoup de commentateurs cette semaine. Mais la moquerie passe à côté du vrai sujet.
Ce que cette affaire démontre, c'est que la sophistication réglementaire ne compense pas les défaillances opérationnelles. Vous pouvez rédiger les directives les plus avancées au monde. Si votre Centre des opérations de sécurité ne détecte pas un appel API anormal pendant cinq jours, si vos clés d'accès cloud ne sont pas isolées et rotatées, si votre chaîne de confiance logicielle n'est pas auditée, les directives sont du papier.
Et c'est exactement le même problème que je pointais dans mon analyse du ReCyF : une approche de la sécurité qui formalise des objectifs, documente des processus, structure de la gouvernance, mais qui présume que l'exécution suivra mécaniquement. Elle ne suit pas. Parce que l'exécution dépend de décisions humaines : qui surveille les alertes, qui vérifie les configurations, qui audite les chaînes de confiance, qui décide de traiter un signal faible ou de l'ignorer.
La Commission n'a pas été piratée parce qu'elle manquait de directives. Elle a été piratée parce que quelqu'un, quelque part dans la chaîne opérationnelle, a fait confiance sans vérifier. C'est un biais de confiance par héritage, le même raccourci mental que j'observe chez les organisations qui pensent qu'un outil populaire est forcément sûr.
Le régulateur le plus puissant d'Europe vient de démontrer, involontairement, la thèse que je défends depuis des années : les textes ne protègent personne. Ce sont les décisions humaines, prises sous contrainte cognitive, dans des environnements complexes, qui déterminent si une organisation est réellement sécurisée ou simplement conforme sur le papier.
Et si la Commission européenne peut être piratée, avec ses équipes dédiées, son CERT-EU, ses budgets, ses directives et son arsenal réglementaire, alors posez-vous la question honnêtement : qu'est-ce qui vous fait croire que votre organisation est à l'abri ?
Ce n'est pas une question rhétorique. C'est la seule question qui compte. Parce que si l'institution qui fixe les standards de cybersécurité pour un continent entier se fait compromettre par une erreur de configuration cloud et un outil open source non vérifié, alors aucune taille d'entreprise, aucun budget, aucun label de conformité ne constitue une garantie. La menace ne discrimine pas entre une PME de logistique et l'exécutif européen. Elle cherche le maillon le plus faible dans la chaîne de confiance. Et elle le trouve.
C'est précisément pour ça que la cybersécurité ne peut pas rester un sujet de spécialistes ou de régulateurs. C'est un sujet de dirigeants. C'est un sujet de culture organisationnelle. C'est un sujet de décisions quotidiennes prises par des humains qui n'ont souvent ni la formation, ni les outils, ni le temps de vérifier chaque maillon de la chaîne. Et c'est pour ça que la réponse ne viendra jamais d'une directive de plus. Elle viendra du moment où chaque organisation acceptera qu'elle est une cible, quelle que soit sa taille, et agira en conséquence.
Encore et toujours, le facteur humain.
Christophe Mazzola, christophemazzola.fr Auteur de « Être en cybersécurité ». Poliment paranoïaque depuis toujours.
Sources
- CERT-EU, 3 avril 2026, rapport d'analyse sur la compromission de l'infrastructure cloud de la Commission européenne
- TechCrunch, 3 avril 2026, « Europe's cyber agency blames hacking gangs for massive data breach and leak »c
- BleepingComputer, 3 avril 2026, « CERT-EU: European Commission hack exposes data of 30 EU entities »
- BleepingComputer, 30 mars 2026, « European Commission confirms data breach after Europa.eu hack »
- Help Net Security, 3 avril 2026, « Trivy supply chain attack enabled European Commission cloud breach »
- The Record, 3 avril 2026, « EU cyber agency attributes major data breach to TeamPCP hacking group »
- The Next Web, 4 avril 2026, « European Commission breached after hackers poisoned open-source security tool Trivy »
- SecurityWeek, 28 mars 2026, « European Commission Reports Cyber Intrusion and Data Theft »
- Cybernews, 31 mars 2026, « It looks bad: inside ShinyHunters' European Commission data breach »
Questions fréquentes
Comment les attaquants sont-ils entrés dans l'infrastructure de la Commission ?
Le 19 mars 2026, la Commission a téléchargé une version compromise de Trivy, détournée par le groupe TeamPCP. Cet outil a permis de récolter une clé API AWS de l'infrastructure Europa.eu, puis de pivoter et d'exfiltrer massivement des données.
Quelle est la donnée la plus critique qui a été volée ?
Au-delà des données personnelles et de 51 992 fichiers d'emails, ce sont les clés DKIM de la Commission qui ont été exfiltrées. Elles permettent de forger des emails passant les contrôles d'authentification des domaines officiels, ouvrant la voie à du spear-phishing industriel.
Qui est responsable de l'attaque ?
Selon l'attribution du CERT-EU, TeamPCP est responsable de l'intrusion et de l'exfiltration, tandis que ShinyHunters, qui opère BreachForums, a publié les données volées le 28 mars 2026. Cette division du travail marque une professionnalisation de l'écosystème criminel.
AWS est-il en cause dans cette compromission ?
Non. Amazon a confirmé qu'aucun incident de sécurité n'avait touché ses services. La faille vient d'une erreur de configuration et de gestion des accès dans l'environnement cloud de la Commission, ainsi que d'une chaîne de confiance logicielle non auditée.
Pourquoi cette affaire est-elle qualifiée d'ironie structurelle ?
La Commission est l'institution qui impose, via NIS 2, une détection rapide des incidents, mais elle a mis cinq jours à détecter l'intrusion dans son propre cloud. L'affaire démontre que la sophistication réglementaire ne compense pas les défaillances opérationnelles.
Sources & méthodologie
- CERT-EU, rapport d'analyse sur la compromission de l'infrastructure cloud de la Commission européenne, 3 avril 2026 :
- TechCrunch, « Europe's cyber agency blames hacking gangs for massive data breach and leak », 3 avril 2026
- BleepingComputer, « CERT-EU: European Commission hack exposes data of 30 EU entities », 3 avril 2026
- Help Net Security, « Trivy supply chain attack enabled European Commission cloud breach », 3 avril 2026
- The Record, « EU cyber agency attributes major data breach to TeamPCP hacking group », 3 avril 2026
- SecurityWeek, « European Commission Reports Cyber Intrusion and Data Theft », 28 mars 2026

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
