2 min de lecture
La Commission européenne piratée sur AWS : 350 Go de données dérobées
Le groupe RansomHouse a compromis le compte AWS de la Commission européenne le 24 mars, dérobant jusqu'à 1,1 To de données. Un incident qui interroge la dépendance de l'UE aux hyperscalers américains.
La Commission européenne piratée sur AWS : 350 Go de données dérobées
Le 24 mars 2026, un groupe criminel a pénétré le compte Amazon Web Services de la Commission européenne. Les données hébergées sur la plateforme Europa.eu ont été exfiltrées. La Commission a confirmé l'incident le 27 mars. Une enquête interne est toujours en cours.
Ce qui s'est passé
Le groupe RansomHouse a revendiqué l'attaque le 26 mars en publiant des captures d'écran comme preuve d'accès. Contrairement aux groupes de type ransomware classique, RansomHouse ne chiffre pas les données : sa méthode consiste à les exfiltrer et à menacer de les publier si la victime ne coopère pas.
Les volumes annoncés varient selon les sources. La Commission elle-même évoque 350 Go de données exfiltrées depuis l'infrastructure hébergeant ses sites web. Le groupe attaquant mentionne 1,1 To. Parmi les données concernées figurent plus de 76 000 courriels, 1 799 comptes d'utilisateurs, et des informations d'accès à des systèmes critiques (SSO, configurations AWS, administration).
Amazon Web Services a précisé que la faille ne provenait pas d'une défaillance de son infrastructure. La compromission résultait d'une mauvaise gestion des droits d'accès côté client. Les systèmes internes de la Commission, distincts des serveurs web hébergés en cloud public, n'ont pas été atteints.
Une question de souveraineté numérique
Cet incident illustre une tension que l'Union européenne n'a pas encore résolue. Ses institutions les plus exposées hébergent une partie de leur infrastructure chez des prestataires américains soumis au droit américain et à ses procédures d'accès judiciaire.
Le projet de cloud souverain européen progresse, porté notamment par Gaia-X et plusieurs initiatives nationales. Mais les délais de déploiement font que les institutions continuent de dépendre de AWS, Azure ou Google Cloud pour de nombreux services publics. La Commission avait d'ailleurs subi une autre tentative d'intrusion en janvier 2026 sur son système de gestion d'appareils mobiles, contenue rapidement sans compromission.
La question du cloisonnement entre les systèmes de communication publics et les systèmes internes sensibles reste entière. L'enquête devra déterminer si ce cloisonnement a tenu, et si les accès compromis pourraient ouvrir des vecteurs d'attaque supplémentaires.
Ce que ça signifie pour vous
Pour les organisations qui hébergent des données sensibles sur AWS ou d'autres plateformes cloud, cet incident est un rappel concret sur la gestion des droits d'accès. Une mauvaise configuration IAM (gestion des identités et des accès) peut exposer des volumes massifs de données sans qu'il y ait la moindre faille dans l'infrastructure du prestataire.
Pour les responsables de systèmes d'information, l'audit des comptes cloud actifs, des politiques d'accès et des journaux d'activité reste la première ligne de défense. Le fait que l'attaque ait ciblé l'infrastructure web publique, et non les systèmes internes, ne doit pas masquer la sensibilité des données concernées.
Sources : TechCrunch · Bloomberg · Security Affairs · Engadget