● Silicon.fr Télécom 📅 03/04/2026 à 17:21

Europa.eu piraté : le mode opératoire se précise

Géopolitique 👤 Clément Bohic
Illustration
Aux balises de version, préférer les commits épinglés. Cette pratique a trouvé un certain écho pour renforcer la sécurité de GitHub Actions après diverses attaques ayant permis le vol de secrets dans la mémoire des exécuteurs. Elle ne s’est pas pour autant généralisée dans les pipelines CI/CD, qui continuent pour beaucoup à s’appuyer sur les tags. Parmi eux, il y en a possiblement un lié à Europa.eu. Le 27 mars, la Commission européenne avait fait une communication au sujet de cette plate-forme qui héberge les sites web d’institutions de l’UE. Elle expliquait avoir découvert, trois jours plus tôt, trace d’une attaque assortie d’un vol de données. Le lendemain, le groupe ShinyHunters publiait, sur le darkweb, ce qu’il disait être les données en question. Le scanner de vulnérabilités Trivy, probable vecteur d’accès initial Le CERT-EU vient d’apporter des éléments complémentaires. Dont ce qu’il estime « avec une grande confiance » être le vecteur d’accès initial : Trivy. Lire aussi : [Spécial Forum InCyber] "Maîtriser nos dépendances numériques" On doit ce scanner de vulnérabilités open source à l’entreprise américaine Aqua Security. Fin février, une mauvaise configuration dans son environnement GitHub Actions a permis à des tiers d’extraire un token et d’établir une persistance dans le processus de release. Le 1er mars, Aqua Security, ayant découvert l’incident, fait tourner ses secrets. Pour autant, l’accès indésirable perdure. Le 19 mars, l’attaquant fait un force-push sur 76 des 77 balises de version du répertoire trivy-action et sur les 7 du répertoire setup-trivy, entraînant une redirection vers des commits malveillants. Simultanément, un compte de service compromis* (aqua-bot) enclenche la publication d’une version malveillante de Trivy (0.69.4). Il a fallu environ 3 heures à Aqua Security pour maîtriser l'attaque et retirer les éléments malveillants. Un infostealer injecté par balises empoisonnées Plutôt que de pousser directement une version vérolée de Trivy, les attaquants ont donc « empoisonné » des balises de version. Les pipelines CI/CD qui en faisaient usage ont ainsi continué à fonctionner comme si de rien n'était. Pour chaque balise, même processus : Positionnément sur la tête de la branche main Injection de l'infostealer dans entrypoint.sh Recherche du commit d'origine et clonage de ses métadonnées Recréation de la jonction avec la tête de la branche main Force-push la balise vers le nouveau commit Résultat : une arborescence de fichiers identique sur tous les commits malveillants et de fausses métadonnées ne variant que par balise et pouvant par là même passer inaperçues dans les journaux Git. Quelques éléments trahissaient quand même l'attaque. Par exemple, l'absence de signature des nouveaux commits, alors que les anciens l'étaient avec GPG lorsque fusionnés via l'UI web de GitHub. Ou tout simplement le fait que chacun de ces nouveaux commits ne modifiait qu'entrypoint.sh, alors que ceux d'origine changeaient plusieurs fichiers. Lire aussi : Forum INCYBER : les 4 lauréats du Prix de la Start-Up TeamPCP, un groupe à l'affût des erreurs de configuration La charge utile était conçue pour collecter des informations sensibles, à commencer par des secrets. Elle s'exécutait avant le scan Trivy, qui semblait donc d'autant plus se terminer sans encombre. L'exfiltration des données se faisait prioritairement en POST vers un typosquattage du nom de domaine d'Aqua Security. Sinon, par la création d'un dépôt public dans le compte GitHub des victimes. Dans une ligne de commentaire, le malware s'identifie en tant que « TeamPCP Cloud stealer ». Suivi depuis peu, TeamPCP s'est fait connaître en exploitant des erreurs de configuration, entre autres dans des API Docker, des clusters Kubernetes et des serveurs Redis. Wiz, qui a livré une analyse à son sujet, ne lui attribue pas de nationalité. Au-delà de son nom qui apparaît dans le code du malware, il y a les ressemblances avec ses précédents outils sur le plan technique. 5 jours pour détecter l'incident Une des clés d'API obtenues via Trivy le 19 mars a donné accès à « des comptes AWS affiliés à la Commission européenne », selon le CERT-EU. L'ayant testée avec Trufflehog, l'attaquant l'a utilisée pour créer une nouvelle clé et l'a attachée à un utilisateur existant. Le SOC de la Commission européenne s'est alerté de la situation le 24 mars. Le lendemain, il a signalé l'incident au CERT-EU. Celui-ci valide d'autant plus la piste Trivy que le timing des attaques coïncide... et que sur la période concernée, Bruxelles a utilisé une version compromise du scanner de vulnérabilités. Le bilan actuel fait état du vol de données d'au moins 71 clients d'Europa.eu : 42 internes à la Commission européenne et 29 d'autres entités de l'UE. Une partie de ces données sont à caractère personnel. Noms/prénoms et adresses électroniques, en particulier. Il y en a aussi pour un peu plus de 2 Go (52 000 fichiers) d'e-mails sortants. La majorité sont des notifications automatisées avec peu voire pas de contenu, assure le CERT-EU. Il y a toutefois des messages de retour (bounce-back) dont le body peut contenir le message de l'expéditeur... Peur sur les messageries instantanées Pour l'instant, il n'y a pas de preuves de latéralisation vers d'autres comptes AWS de la Commission européenne, à en croire le CERT-EU. Lire aussi : Les demandes d'assistance pour cyberharcèlement se multiplient chez les publics professionnels Cet épisode s'ajoute à une succession d'attaques contre les institutions de l'UE et ses États membres. En début d'année, la Commission européenne avait vu l'infrastructure de gestion de ses terminaux mobiles compromise, visiblement par l'intermédiaire d'une faille dans Ivanti EPMM. Plus récemment, le CERT-FR et plusieurs homologues européens ont émis des bulletins d'alerte sur le ciblage des messageries instantanées, particulièrement dans les secteurs régaliens. À la suite de quoi la Commission européenne a fait fermer, par crainte de piratage, un groupe Signal sur lequel échangeaient des directeurs de départements et dont elle n'avait eu connaissance que dernièrement. En mars, l'UE a intégré à sa liste de sanctions trois sociétés impliquées dans des cyberattaques. Deux chinoises, qui ont respectivement contribué au piratage d'infrastructures critiques et de dizaines de milliers de terminaux (65 000 dans 6 États membres). Une iranienne, à laquelle on a notamment attribué le piratage de Charlie Hebdo en 2023 (adresses postales et électroniques d'abonnés mises en vente sur le darkweb) et le détournement de panneaux publicitaires pendant les JO 2024 pour diffuser de la désinformation. * Compte également utilisé pour récupérer des identifiants supplémentaires sur le GitHub d'Aqua Security. Dont des clés GPG et des authentifiants pour Docker Hub, Slack et X, exfiltrés via un tunnel Cloudflare. Illustration générée par IA
← Retour