Un piratage de la plateforme web Europa de la Commission européenne a non seulement un impact sur la Commission elle-même, mais probablement aussi sur au moins 29 autres entités de l’UE. Les premières analyses révèlent que 91,7 Go de données ont été dérobés.
Le CERT-EU, responsable de la cybersécurité de l’UE, indique que des pirates se sont vraisemblablement emparés de données sensibles de la Commission européenne et de 29 autres entités de l’UE. Cela s’est produit lors d’un piratage de l’infrastructure cloud sous-jacente à la plateforme web Europa.eu, dont la Commission a fait état le 24 mars.
Des criminels se sont emparés de données provenant des utilisateurs de l’infrastructure d’hébergement. Le 28 mars, le groupe d’extorsion ShinyHunters a rendu publiques les données dérobées sur son site de fuites du dark web. L’ensemble de données publié représente environ 91,7 Go sous forme compressée, soit 340 Go non compressés. Pour l’instant, rien n’indique que des sites web aient été mis hors ligne ou modifiés, et il n’y a pas eu non plus d’interruptions de service.
Données à caractère personnel
L’analyse du CERT-EU confirme entre-temps la présence de données à caractère personnel dans l’ensemble de données dérobé. Il s’agit notamment de listes de prénoms, de noms de famille, de noms d’utilisateur et d’adresses e-mail. Ces données sont principalement liées aux sites web de la Commission européenne, mais peuvent également concerner des utilisateurs de plusieurs autres entités de l’UE utilisant le même service d’hébergement.
En outre, l’ensemble de données contient au moins 51 992 fichiers liés à des communications par courrier électronique sortant, représentant un total de 2,22 Go. Il s’agit en grande partie de notifications automatiques avec peu ou pas de contenu. Cependant, les messages de type « bounce-back » peuvent contenir du contenu original envoyé précédemment par les utilisateurs, ce qui pourrait avoir exposé des données à caractère personnel supplémentaires.
L’analyse des bases de données liées aux sites web hébergés est toujours en cours. Selon le CERT-EU, cela demande beaucoup de temps en raison du volume et de la complexité des données. L’organisation partagera directement des détails supplémentaires sur l’exposition spécifique avec les parties concernées.
Attaque de la chaîne d’approvisionnement
Le piratage s’est produit via une attaque de la chaîne d’approvisionnement, au cours de laquelle des pirates ont accédé à l’environnement AWS derrière Europa.eu. Via cet environnement, des sites web sont hébergés pour jusqu’à 71 clients : 42 clients internes de la Commission et au moins 29 autres entités de l’UE.
Le 24 mars, la Commission européenne a reçu des alertes concernant une possible utilisation abusive d’API Amazon, une éventuelle compromission de compte et une augmentation anormale du trafic réseau. Un jour plus tard, la Commission en a informé le CERT-EU. L’enquête indique que les attaquants ont obtenu leur accès initial via la compromission de la chaîne d’approvisionnement Trivy. Celle-ci serait à son tour attribuable aux cybercriminels de TeamPCP.
Outil de sécurité non sécurisé
Ironiquement, Trivy est un outil de sécurité. Cette solution open source est utilisée pour rechercher des vulnérabilités. TeamPCP a pu accéder au dépôt GitHub où réside le code de Trivy. De cette manière, ils ont pu intégrer une porte dérobée et l’envoyer automatiquement aux utilisateurs, y compris au service informatique de la Commission européenne.
Cela a ensuite permis aux attaquants de dérober une clé API AWS de la Commission. Cela s’est probablement produit le 19 mars. Grâce à cette clé, les pirates ont pris le contrôle d’autres comptes AWS liés à la Commission européenne et concernant l’infrastructure qui soutient Europa.eu.
La Commission européenne a rapidement révoqué les droits du compte AWS compromis et a désactivé ou supprimé toutes les clés d’accès concernées. À ce moment-là, le mal était déjà fait et les données avaient été volées.
Attaques rapides depuis l’écosystème
L’attaque illustre le mode opératoire actuel des cybercriminels. Ceux-ci ne restent plus des semaines dans le réseau de leur victime, mais tentent de frapper le plus rapidement possible. Le délai d’exécution d’une attaque moyenne visant les ransomwares et le vol de données est aujourd’hui d’environ quatre jours. Cela correspond au temps que ShinyHunters a passé dans le réseau européen.
De plus, le déroulement de l’attaque confirme les conclusions actuelles sur le fonctionnement du monde criminel numérique. Les attaques ne sont pas menées par une seule partie, mais résultent de la collaboration de tout un écosystème de pirates. Des parties spécialisées telles que TeamPCP fournissent des portes dérobées et l’accès aux systèmes, mais ne s’occupent pas elles-mêmes d’extorsion et de vol de données. Leur modèle économique consiste à vendre l’accès à d’autres criminels. Dans ce cas, l’extorsion proprement dite est réalisée par ShinyHunters.
Cible populaire
Les institutions publiques sont des cibles privilégiées pour les pirates au service d’États-nations. Même les petits piratages, sans conséquences significatives, ont un impact sur la confiance des citoyens envers leur gouvernement. Début février, l’Europe a déjà été victime d’une attaque qui se situe probablement dans ce contexte.
Le piratage actuel ne semble pas directement lié aux activités d’une puissance hostile telle que la Russie. ShinyHunters et TeamPCP sont plutôt des criminels professionnels. L’impact est néanmoins similaire.