Netcrook Logo
👤 AUDITWOLF
🗓️ 03 Apr 2026   🌍 Europe

Au cœur du braquage numérique : comment TeamPCP a pénétré la forteresse cloud de l’UE

Une cyberattaque coordonnée a exploité les chaînes d’approvisionnement logicielles pour compromettre les données de la Commission européenne, révélant les vulnérabilités de l’infrastructure cloud du secteur public.

Tout a commencé, comme tant de scandales cybernétiques, par un murmure sur le réseau. Le 24 mars, les gardiens cyber de la Commission européenne ont remarqué une hausse inhabituelle du trafic cloud - un signe inquiétant qui s’est rapidement transformé en l’une des violations de données les plus importantes de l’histoire récente de l’UE. Dans l’ombre : TeamPCP, un groupe de hackers insaisissable à la réputation grandissante pour ses attaques de haut niveau, avait infiltré le cœur même des opérations numériques de l’Europe.

Anatomie d’une violation

La brèche, confirmée par le CERT-EU, a commencé par un exemple classique d’attaque sur la chaîne d’approvisionnement. À l’insu des administrateurs informatiques, une version corrompue de Trivy - un scanner de sécurité open source largement utilisé - s’était glissée dans les canaux de mise à jour de la Commission. TeamPCP, déjà attribué au compromis de Trivy, a saisi l’opportunité. Les hackers ont exploité une clé API Amazon secrète, leur accordant des droits de gestion étendus sur l’infrastructure cloud AWS de la Commission.

La cible : la plateforme Europa.eu, un hub central pour les États et institutions de l’UE. En quelques jours, les attaquants ont siphonné près de 92 gigaoctets de données compressées - noms, adresses e-mail et fichiers d’e-mails sortants - appartenant à des dizaines de clients internes et au moins 29 entités de l’UE. Bien que le CERT-EU suggère que la plupart des e-mails volés étaient automatisés et à faible risque, même des notifications de rebond routinières pouvaient exposer des informations personnelles.

Collaboration entre cybercriminels

Le 28 mars, le butin volé est apparu sur le site du dark web notoire de ShinyHunters, présenté comme une mine d’or de documents confidentiels, bases de données et contrats. L’incident met en lumière une tendance inquiétante : les groupes de cybercriminels partagent de plus en plus leurs ressources et profits, transformant des attaques isolées en véritables razzias numériques coordonnées.

Les empreintes de TeamPCP apparaissent sur toute la scène mondiale du cybercrime. En plus de la brèche de l’UE, le groupe est impliqué dans l’attaque LiteLLM - qui a touché des milliers d’organisations - et possède un historique de déploiement de ransomwares, d’exfiltration de données sensibles et de campagnes de cryptominage. Leur sophistication technique et leur volonté d’exploiter les chaînes d’approvisionnement logicielles de confiance les distinguent des cybercriminels ordinaires.

Répliques et leçons à tirer

Jusqu’à présent, le CERT-EU n’a trouvé aucune preuve que TeamPCP se soit déplacé latéralement vers d’autres comptes AWS, mais la brèche constitue un avertissement sévère sur la fragilité des défenses cloud. À mesure que les agences du secteur public s’appuient de plus en plus sur des outils tiers et des services cloud, les lignes de confiance et de responsabilité s’estompent. L’attaque contre la Commission européenne souligne l’urgence de procéder à des audits rigoureux de la chaîne d’approvisionnement, de renforcer les contrôles d’accès cloud et de mettre en place une détection des anomalies en temps réel - car à l’ère numérique, la prochaine brèche pourrait déjà être en cours.

WIKICROOK

  • Attaque sur la chaîne d’approvisionnement : Une attaque sur la chaîne d’approvisionnement est une cyberattaque qui compromet des fournisseurs de logiciels ou de matériels de confiance, propageant des malwares ou des vulnérabilités à de nombreuses organisations en même temps.
  • Clé API : Une clé API est un code unique qui permet à des programmes d’accéder à des données ou des services. Si elle n’est pas correctement sécurisée, elle peut représenter un risque pour la cybersécurité.
  • AWS (Amazon Web Services) : AWS (Amazon Web Services) est une plateforme cloud de premier plan où les entreprises stockent des données et exécutent des applications à distance, réduisant ainsi le besoin de serveurs physiques.
  • Exfiltration de données : L’exfiltration de données est le transfert non autorisé de données sensibles du système d’une victime vers le contrôle d’un attaquant, souvent à des fins malveillantes.
  • Dark Web : Le Dark Web est la partie cachée d’Internet, accessible uniquement avec des logiciels spéciaux, où se déroulent souvent des activités illégales et où l’anonymat est garanti.
Cyberattack TeamPCP Data Breach
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news