La Commission européenne a confirmé une compromission de son infrastructure cloud liée à la plateforme publique europa.eu. L’incident ne vient pas d’une faille interne classique, mais d’une attaque supply chain ayant touché Trivy, un outil de sécurité largement utilisé dans les environnements cloud et CI/CD.
Le scénario est particulièrement préoccupant car il montre comment un outil censé renforcer la sécurité peut devenir le point d’entrée d’une compromission massive. Dans ce cas, l’attaque a permis à un acteur malveillant de récupérer un secret AWS, puis d’exfiltrer un volume important de données depuis un compte cloud utilisé par la Commission européenne.
D’après les éléments publiés, environ 91,7 Go de données compressées ont été dérobés, soit près de 340 Go une fois décompressés. Les données concerneraient non seulement des sites de la Commission, mais aussi des contenus liés à plusieurs dizaines d’entités de l’Union européenne hébergées via le même socle technique.
Ce dossier rappelle une réalité désormais centrale en cybersécurité : la menace ne passe plus uniquement par une application vulnérable ou un mot de passe faible. Elle passe aussi par les dépendances logicielles, les pipelines CI/CD, les outils tiers et les secrets cloud qui circulent dans toute la chaîne technique.
Le problème, ici, est double. D’un côté, un composant externe compromis a permis l’accès initial. De l’autre, cet accès a ouvert la porte à des ressources cloud sensibles, avec derrière un risque d’exfiltration en cascade sur une infrastructure mutualisée utilisée par de nombreux sites institutionnels.
La chronologie communiquée montre que l’attaquant aurait obtenu un secret AWS le 19 mars 2026, via la compromission de la chaîne d’approvisionnement de Trivy. Des alertes sur une possible compromission, un usage suspect d’API Amazon et une hausse anormale du trafic réseau ont ensuite été détectées le 24 mars. Le 25 mars, CERT-EU a été notifié. Le 27 mars, la Commission a rendu l’incident public. Puis, le 28 mars, les données volées ont été publiées par le groupe d’extorsion ShinyHunters sur son site de fuite.
Le point d’entrée supposé est attribué avec un niveau de confiance élevé à la compromission supply chain de Trivy, elle-même publiquement reliée à un acteur nommé TeamPCP. L’attaque n’aurait donc pas commencé directement chez la Commission, mais plus en amont, dans un maillon tiers intégré au cycle de déploiement et de sécurité.
Concrètement, l’attaquant aurait exploité une version compromise de Trivy reçue via les canaux de mise à jour habituels. Une fois un identifiant cloud sensible récupéré, il a pu mener de la reconnaissance, vérifier d’autres secrets et tenter d’étendre son accès. CERT-EU indique notamment l’usage de TruffleHog, un outil utilisé pour rechercher et valider des secrets exposés, notamment dans des environnements cloud et DevSecOps.
L’un des aspects les plus critiques est que la clé compromise donnait des droits de gestion. Autrement dit, il ne s’agissait pas d’un simple accès en lecture très limité. L’attaquant a même créé une nouvelle clé d’accès rattachée à un utilisateur existant, vraisemblablement pour conserver la main plus discrètement et compliquer la détection.
La Commission européenne affirme avoir rapidement révoqué les droits du compte compromis et désactivé ou supprimé les accès concernés. À ce stade, elle précise aussi que ses systèmes internes n’ont pas été touchés. L’incident concernerait donc l’infrastructure technique supportant plusieurs sites publics, et non l’ensemble de son système d’information.
Mais même limité à cette couche, l’impact potentiel reste important. Les premières analyses évoquent déjà la présence de données personnelles dans les fichiers exfiltrés : noms, prénoms, identifiants, adresses email, ainsi que des contenus liés à des communications sortantes. CERT-EU mentionne notamment la présence de dizaines de milliers de fichiers liés à des emails, dont certains messages automatiques sans grand contenu, mais aussi des notifications de rebond pouvant intégrer des éléments soumis par des utilisateurs.
Autrement dit, le risque ne se limite pas à une liste de contacts. Selon les sites et bases concernés, certaines données publiées pourraient contenir des échanges, formulaires, messages d’erreur, traces d’interaction ou contenus transmis par des usagers. C’est précisément ce flou initial qui rend ce type d’incident dangereux : l’analyse complète des bases demande du temps, alors que les données peuvent déjà circuler.
Le périmètre annoncé est lui aussi significatif. Les données exfiltrées seraient liées à des sites hébergés pour 71 clients du service d’hébergement Europa : 42 clients internes à la Commission et au moins 29 autres entités de l’Union. Cela ne signifie pas forcément que toutes ont été exposées au même niveau, mais cela montre qu’une seule compromission cloud peut avoir des effets transverses sur un large écosystème institutionnel.
Ce cas illustre parfaitement le risque structurel des environnements modernes : l’interconnexion entre outils de build, dépôts, actions GitHub, secrets, API cloud et comptes techniques. Quand une dépendance de confiance est compromise, le pirate n’a parfois plus besoin d’exploiter une vulnérabilité complexe sur la cible finale. Il récupère directement des accès légitimes, puis agit comme un utilisateur autorisé.
Dans l’affaire Trivy, le danger est d’autant plus fort que les outils concernés sont souvent branchés au cœur des pipelines d’intégration et de déploiement. Ils voient passer des clés d’accès, tokens, secrets, variables d’environnement et droits sur l’infrastructure. Si l’un de ces composants est empoisonné, c’est tout le modèle de confiance automatisé qui vacille.
Le mode opératoire observé confirme aussi une évolution des attaques supply chain. L’objectif n’est plus seulement de compromettre un éditeur pour diffuser un binaire malveillant visible. Les attaquants cherchent désormais à empoisonner discrètement les flux de confiance, par exemple via des tags, des actions, des dépendances ou des workflows que les organisations consomment sans méfiance particulière.
Pour les organisations, le signal est clair : il ne suffit plus de scanner ses propres serveurs ou de corriger ses propres applications. Il faut aussi surveiller les outils de sécurité eux-mêmes, vérifier les versions déployées, contrôler la provenance des mises à jour, auditer les droits accordés aux pipelines et réduire drastiquement l’exposition des secrets cloud.
Parmi les mesures urgentes recommandées figurent la mise à jour vers une version saine de Trivy, la rotation immédiate des secrets AWS potentiellement exposés, l’audit des versions utilisées dans tous les environnements, y compris CI/CD, ainsi que l’épingle des GitHub Actions sur des hashes complets plutôt que sur de simples tags modifiables.
À plus court terme, CERT-EU insiste aussi sur la nécessité de restreindre les permissions des pipelines, de mettre en place une vraie gestion du risque fournisseur pour les briques CI/CD, et d’ajouter une surveillance comportementale capable de repérer des connexions anormales, des accès inattendus aux secrets ou des usages suspects des API cloud.
Le fond du problème est là : beaucoup d’entreprises ont industrialisé leur delivery, mais ont laissé des comptes techniques trop puissants, des clés trop durables et des dépendances trop peu contrôlées. Tant que ces éléments restent en place, une attaque supply chain sur un outil populaire peut rapidement se transformer en compromission multi-clients à grande échelle.
Le risque, désormais, ne concerne pas seulement l’accès initial déjà coupé. Les données étant publiées, il faut aussi anticiper une seconde vague d’exploitation : phishing ciblé, ingénierie sociale, usurpation, faux échanges administratifs, messages frauduleux crédibles ou réutilisation d’informations personnelles dans d’autres campagnes. C’est souvent après la fuite que commence la phase la plus visible pour les victimes.
Cette affaire est donc un cas d’école. Elle montre qu’une compromission en apparence technique, sur un outil tiers utilisé dans une chaîne de sécurité et de déploiement, peut déboucher sur une fuite massive touchant des institutions publiques, des sites multiples et des données personnelles. Et elle rappelle surtout qu’en 2026, la surface d’attaque réelle d’une organisation dépasse très largement son propre périmètre.
La Commission européenne poursuit l’analyse des bases concernées et les entités potentiellement touchées ont commencé à être informées directement. Mais une chose est déjà certaine : l’attaque via Trivy contre l’écosystème europa.eu s’impose comme l’un des signaux forts de l’année sur la menace supply chain dans le cloud.