Piratage de la Commission européenne : 350 Go de données volées sans rançon
Le 24 mars 2026, la Commission européenne a confirmé avoir été victime d'une cyberattaque majeure ayant permis le vol de 350 Go de données sensibles depuis son infrastructure cloud Amazon Web Services. Particularité troublante : les hackers n'ont réclamé aucune rançon et menacent de publier les données gratuitement.
L'attaque, revendiquée par le groupe de cybercriminels ShinyHunters, a ciblé les comptes AWS hébergeant la plateforme web Europa.eu, vitrine en ligne de plusieurs institutions européennes. Selon les premières investigations, plus de 76 000 emails, 1 799 comptes utilisateurs, des clés de chiffrement DKIM et des configurations internes auraient été exfiltrés entre le 24 et le 27 mars.
Ce qui inquiète particulièrement les experts en cybersécurité, c'est le changement de stratégie des attaquants. « L'attaquant ne prévoit pas de demander de rançon et affirme que les données seront publiées gratuitement ultérieurement », rapporte TechCrunch. Cette évolution marque un tournant : l'objectif n'est plus le profit immédiat mais l'impact réputationnel et géopolitique maximal.
Un cloud institutionnel sous surveillance
Amazon Web Services s'est défendu en précisant que son infrastructure cloud elle-même n'avait pas été compromise et que ses services avaient fonctionné comme prévu. La faille proviendrait d'une mauvaise configuration ou de credentials compromis au niveau des comptes clients de la Commission, non d'une vulnérabilité technique d'AWS.
La Commission européenne a réagi rapidement en publiant un communiqué officiel le 27 mars, affirmant que « des mesures d'atténuation des risques ont été immédiatement mises en œuvre » et que « les systèmes internes de la Commission n'ont pas été affectés ». Les opérations quotidiennes des institutions européennes se poursuivent normalement, mais l'enquête se poursuit pour évaluer l'étendue réelle de la compromission.
L'ironie de cette attaque n'échappe à personne : la Commission européenne, architecte de réglementations strictes en matière de cyberattaque et de protection des données, se retrouve elle-même victime d'une faille de sécurité majeure. Cette incident soulève des questions légitimes sur la capacité des institutions à appliquer les standards qu'elles imposent aux entreprises privées.
Une menace en évolution constante
Le groupe ShinyHunters n'en est pas à son coup d'essai. Actif depuis 2020, ce collectif s'est spécialisé dans le vol et la revente de bases de données d'entreprises et d'institutions. Leur modus operandi évolue : plutôt que d'exiger des rançons, ils misent désormais sur la publication gratuite de données pour maximiser l'impact médiatique et déstabiliser les cibles.
Cette stratégie transforme fondamentalement la nature de la cybermenace. Bloomberg rapporte que l'attaque révèle « une vulnérabilité structurelle du cloud institutionnel », pointant du doigt la dépendance croissante des administrations publiques envers des fournisseurs de cloud privés. La sécurisation des accès, la gestion des identités et la surveillance des configurations deviennent des enjeux critiques.
Pour les 450 millions de citoyens européens, cette attaque informatique soulève des interrogations sur la protection de leurs données personnelles potentiellement contenues dans les emails et bases de données dérobés. Les autorités de protection des données de l'UE devront déterminer si des informations personnelles ont été compromises et notifier les personnes concernées conformément au RGPD.
L'enquête se poursuit sous la direction du CERT-UE, l'équipe de réponse aux incidents informatiques des institutions européennes, en collaboration avec AWS et les agences de cybersécurité nationales. Les résultats détermineront si des réformes structurelles de la sécurité informatique institutionnelle européenne sont nécessaires face à cette nouvelle génération de cyberattaques sans rançon.