L’institution qui rédige les lois sur la protection des données en Europe vient elle-même de se faire pirater — pour la deuxième fois en deux mois. Le 24 mars 2026, la Commission européenne a découvert qu’un attaquant avait infiltré son infrastructure cloud hébergée sur Amazon Web Services (AWS) et siphonné plus de 350 gigaoctets de données sensibles. Le groupe de hackers ShinyHunters, bien connu des services de renseignement cyber, a revendiqué l’attaque et publié les données sur le dark web. L’incident est un signal d’alarme pour toute organisation — PME comprise — qui confie ses données au cloud.

Ce qui s’est passé : autopsie d’un hold-up numérique

Le 24 mars, les équipes informatiques de la Commission détectent une activité anormale sur l’un de leurs comptes AWS, qui héberge la plateforme Europa.eu — le portail web officiel de l’Union européenne. L’intrusion est stoppée, mais le mal est fait : les pirates ont eu le temps d’aspirer un volume colossal d’informations.

Quatre jours plus tard, le groupe ShinyHunters contacte directement des journalistes spécialisés et fournit des preuves de son accès : captures d’écran de serveurs mail, de bases de données internes et de répertoires d’employés. Le 30 mars, le gang ajoute officiellement la Commission européenne à son site de fuite sur le réseau Tor et publie une première archive de plus de 90 Go.

« Plus de 350 Go de données ont été compromises, incluant des dumps de serveurs mail, des bases de données, des documents confidentiels, des contrats et bien d’autres éléments sensibles. » — ShinyHunters, sur son site de fuite

Selon des chercheurs en cybersécurité, le butin contiendrait également un annuaire SSO (Single Sign-On) complet, des clés de signature DKIM, des snapshots de configuration AWS, ainsi que des données de la plateforme collaborative NextCloud et du mécanisme de financement militaire Athena. C’est cette diversité qui inquiète particulièrement les experts.

Des clés DKIM volées : une bombe à retardement

Parmi toutes les données dérobées, ce sont les clés DKIM qui alarment le plus la communauté cyber. Ces clés servent à authentifier les emails envoyés depuis un domaine — en l’occurrence, les domaines officiels de la Commission européenne. Un analyste sur le réseau X résume la situation de façon limpide : avec ces clés, ShinyHunters pourrait forger des emails qui passent les contrôles d’authentification, « parfaits pour du spear-phishing ciblant les États membres de l’UE ».

Concrètement, imaginez recevoir un email qui semble provenir légitimement de la Commission européenne, avec toutes les signatures techniques valides, vous demandant de mettre à jour un contrat ou de fournir des informations. C’est exactement le scénario rendu possible par ce vol. Et ce risque ne concerne pas que les institutions : toute entreprise qui interagit avec les services européens — appels d’offres, programmes de financement, échanges réglementaires — devient une cible potentielle.

ShinyHunters : le gang qui vise le cloud

ShinyHunters n’est pas un acteur inconnu. Apparu en 2020, ce groupe s’est fait une spécialité du piratage de plateformes cloud et du vol massif de données. Leur tableau de chasse est impressionnant : en 2024, ils sont à l’origine de la méga-fuite touchant Snowflake, compromettant les données d’au moins 160 organisations dont AT&T (110 millions de clients touchés), Ticketmaster (560 millions d’utilisateurs) et la banque Santander. Parmi leurs autres victimes : Google, Chanel, Canada Goose et Panera Bread.

Leur méthode ? Rarement des exploits techniques sophistiqués. Le plus souvent, ils exploitent des identifiants volés, des erreurs de configuration cloud ou des comptes mal protégés — l’ingénierie sociale et le facteur humain restent leurs meilleurs alliés. C’est d’ailleurs ce qui semble s’être passé à Bruxelles : AWS a confirmé que ses services « ont fonctionné comme prévu », suggérant que la faille provient d’un compte mal configuré ou d’identifiants compromis plutôt que d’une vulnérabilité dans l’infrastructure d’Amazon.

Pourquoi cela vous concerne directement

Si la Commission européenne — avec ses équipes dédiées, ses budgets conséquents et le soutien de CERT-EU — peut se faire pirater deux fois en deux mois (une première brèche via sa plateforme de gestion de mobiles avait été révélée en février), aucune PME ne peut se croire à l’abri.

Le rapport CrowdStrike 2026 Global Threat Report, publié fin février, confirme la tendance : les intrusions ciblant le cloud ont augmenté de 37 % en un an, avec une hausse spectaculaire de 266 % pour les attaques menées par des acteurs étatiques. Le temps moyen de propagation d’une attaque eCrime est tombé à 27 secondes — le temps de lire ce paragraphe.

Les erreurs les plus courantes restent terriblement banales : des clés API laissées dans du code source, des comptes de service sans authentification multifacteur, des permissions IAM trop larges, des sauvegardes accessibles sans chiffrement. Ce n’est pas la sophistication de l’attaque qui tue, c’est la négligence dans la configuration.

« La gestion des identités et des accès (IAM) est difficile, et pas uniquement sur AWS. C’est le même défi avec toutes les infrastructures. Il suffit d’une seule erreur. » — Ilia Kolochenko, CEO d’ImmuniWeb

L’ironie est mordante : la Commission européenne est l’organe qui a rédigé le RGPD et la directive NIS2, censée renforcer la cybersécurité des organisations européennes. Cette même Commission venait de proposer, le 20 janvier 2026, des amendements ciblés à NIS2 pour clarifier les obligations de conformité. Se faire pirater dans ce contexte, c’est un peu comme si le constructeur d’un coffre-fort se faisait cambrioler avec son propre trousseau de clés.

À retenir

  • 350 Go de données volées à la Commission européenne par le gang ShinyHunters via un compte AWS compromis — incluant emails, bases de données, contrats confidentiels et clés de signature DKIM.
  • Deuxième brèche en deux mois pour la Commission, après une intrusion dans sa plateforme de gestion mobile en février 2026.
  • Le cloud n’est pas sécurisé par défaut : la faille vient d’une erreur de configuration ou d’identifiants volés, pas d’un bug dans AWS. Vérifiez vos paramètres IAM, activez le MFA partout, auditez vos permissions.
  • Les clés DKIM volées permettent de forger des emails authentiques — redoublez de vigilance face aux emails « officiels » de l’UE dans les prochains mois.
  • Les attaques cloud explosent : +37 % en un an selon CrowdStrike, avec un temps de propagation record de 27 secondes. La sécurité cloud n’est plus optionnelle, même pour une PME.
  • Action immédiate : auditez vos comptes cloud (AWS, Azure, Google Cloud), supprimez les accès inutilisés, chiffrez vos sauvegardes et formez vos équipes aux risques d’ingénierie sociale.

Photo : Brett Sayles via Pexels