# La Commission européenne touchée par une violation du cloud AWS La **Commission européenne** a subi une violation de données majeure le 19 mars, l'intrusion étant attribuée au groupe de pirates **TeamPCP** par **CERT-EU**. La violation a exploité un compte **Amazon Web Services (AWS)** compromis, entraînant le vol d'environ 92 gigaoctets de données compressées. ## Détails de la violation Les attaquants ont obtenu l'accès par une mauvaise utilisation d'une clé API Amazon secrète, ciblant la plateforme Europa.eu de la Commission hébergée sur l'infrastructure cloud **AWS**. Cette plateforme est utilisée par les États de l'UE pour héberger des sites Web pour diverses entités du bloc. Selon le rapport de **CERT-EU**, des données appartenant à 42 clients internes et à au moins 29 entités de l'UE pourraient avoir été compromises. L'ensemble de données volé contenait près de 52 000 fichiers, totalisant 2,2 gigaoctets, principalement liés aux communications par e-mail sortantes. Bien que **CERT-EU** estime que la plupart de ces messages étaient automatisés avec un contenu minimal, certaines notifications de rebond pourraient présenter un risque d'exposition de données personnelles. ## Chronologie et découverte Les responsables de la cybersécurité de la Commission ont détecté la violation le 24 mars, déclenchée par des notifications indiquant une utilisation abusive potentielle des API Amazon, un possible compromis de compte et une augmentation inhabituelle du trafic réseau. ## Cause profonde : Compromis de la chaîne d'approvisionnement de Trivy **CERT-EU** évalue avec une grande confiance que l'accès initial a été obtenu par le compromis de la chaîne d'approvisionnement de **Trivy**. La Commission a utilisé à son insu une version compromise de **Trivy** obtenue par les canaux de mise à jour logicielle réguliers. ## Risque de mouvement latéral Les acteurs de la menace ont acquis des « droits d'administration » pour la clé API **AWS** compromise, leur permettant potentiellement de se déplacer latéralement vers d'autres comptes **AWS** au sein de la **Commission européenne**. Cependant, il n'y a actuellement aucune preuve d'un tel mouvement latéral. ## Fuite de données sur le Dark Web Le 28 mars, les données volées ont fait surface sur le site du dark web de **ShinyHunters**. **ShinyHunters** a affirmé avoir volé des « dumps de données de serveurs de messagerie, de bases de données [sic], de documents confidentiels, de contrats et de matériel beaucoup plus sensible ». ## Modus Operandi de TeamPCP **TeamPCP** est également soupçonné d'être à l'origine de la récente cyberattaque LiteLLM, qui a affecté **Mercor** et de nombreuses autres organisations. Le groupe de pirates a été lié à des campagnes de ransomware propagées par des vers, d'exfiltration de données et de cryptominage.