● Silicon.fr Télécom 📅 15/04/2026 à 18:30

Cybersécurité 👤 Clément Bohic

🏷️ Tags : ransomware phishing vulnérabilités cert edr stoc

Avec une meilleure mise en œuvre du principe de moindre privilège, Europa.eu aurait peut-être échappé au piratage. Le constat s’impose à la lecture de l’analyse d’un spécialiste SSI polonais. L’intéressé est allé plus loin que la communication publique du CERT-EU. Il en a conclu à un double problème de contrôle d’accès aux ressources. D’une part, l’identité utilisée par les attaquants avait la permission de récupérer des secrets depuis tout ARN au sein du compte. De l’autre, le principal SSO avait une wildcard. La politique problématique pourrait ressembler à ceci : Conjugué à l’absence de MFA au niveau du fournisseur d’identité, ce niveau d’accès a permis d’énumérer les ressources (s3:ListBucket, iam:ListRoles), de récupérer des clés DKIM (stockées en clair dans AWS Secrets Manager) et d’exfiltrer pour 340 Go de données (via S3, Athena et NextCloud). Lire aussi : EDR Killers : l’évasion industrialisée, socle des attaques par ransomware Le CERT-EU avait dévoilé le vecteur d’accès initial Le butin comprend des e-mails avec pièces jointes ainsi que le contenu de l’annuaire SSO. Leur combinaison ouvre la voie à du phishing ciblé ; les clés DKIM, à l’usurpation du domaine @ec.europa.eu, du moins jusqu’à confirmation de la rotation des clés au niveau DNS (ce qu’Europa.eu a probablement fait depuis). Dans le package se trouvent aussi des données opérationnelles potentiellement intéressantes en vue d’autres attaques. Par exemple, des dumps de configs AWS, des résultats de requêtes Athena (typiquement, analyse de logs et de métriques) et des URL d’interfaces d’administration internes. La Commission européenne avait officialisé le piratage d’Europa.eu (plate-forme d’hébergement des sites web de l’UE) le 27 mars, trois jours après en avoir trouvé trace. Le lendemain, le groupe ShinyHunters publiait les données. Le CERT-EU avait communiqué le 2 avril. Il avait notamment apporté des précisions sur le vecteur d’accès initial. En l’occurrence, Trivy, un scanner de vulnérabilités open source. Un token récupéré via une mauvaise configuration dans l’environnement GitHub Actions avait permis une intrusion dans le processus de release. Et la publication d’une version malveillante contenant un infostealer. Illustration principale générée par IA

🔗 Lire l'article original 👁️ 1 lecture