Mercredi, la Commission européenne a révélé une cyberattaque susceptible de compromettre les informations des salariés, peu après laL'UE a annoncé de nouvelles lois sur la cybersécuritépour se prémunir contre de telles attaques.
L’intrusion dans le système de données de la Commission s’est produite le 30 janvier, lorsqu’un auteur inconnu a accédé à une zone de la Commission qui comprenait l’équipement technique utilisé pour gérer et connecter les appareils mobiles des employés.
Les intrus auraient également eu accès aux numéros de téléphone portable internes et aux noms des employés travaillant au sein de la Commission.
Une réponse rapide a contenu les dégâts
La Commission a déclaré : « Notre réponse rapide a atténué la situation, en nettoyant le système compromis en moins de neuf heures. Nous n'avons trouvé aucun signe d'appareil mobile compromis.
Bien que les appareils des employés semblent sûrs, la violation expose des informations personnelles que les attaquants pourraient utiliser à des fins de phishing ciblé ou d’ingénierie sociale.
Le moment ne pouvait pas être pire : la Commission venait de proposer une législation majeure en matière de cybersécurité pour protéger les infrastructures critiques contre les pirates informatiques et les cybercriminels parrainés par l’État lorsque cette attaque a été découverte.
Cet incident souligne la gravité, alors même qu’elle déploie son pouvoir réglementaire pour affirmer son contrôle sur une autre dimension du monde numérique : les pratiques de confidentialité des données des entreprises technologiques les plus puissantes du monde.
La Commission n'a pas précisé comment les attaquants ont pu accéder au site, mais elle dispose de toutes les indications selon lesquelles il ne s'agissait là que d'une partie d'un cycle d'attaques plus vaste contre les institutions européennes.
Les agences néerlandaises touchées par la même méthode d'attaque
Le même jour, l'autorité néerlandaise de protection des données et le Conseil judiciaire ont signalé presque les mêmes violations de leur système de données. Les deux autorités ont vérifié que les malfaiteurs ont profité des vulnérabilités du logiciel Ivanti Endpoint Manager Mobile pour infiltrer et accéder aux noms des travailleurs, à leurs e-mails professionnels et à leurs numéros de téléphone.
Les autorités néerlandaises ont déclaré :
"Le Centre national de cybersécurité a été informé par le fournisseur des vulnérabilités de l'EPMM le 29 janvier. À l'heure actuelle, il est devenu clair qu'une entité étrangère a accédé aux données professionnelles liées aux employés, notamment le nom, l'adresse e-mail de l'entreprise et le numéro de téléphone."
La tendance est que les pirates informatiques ciblent systématiquement le système gouvernemental européen en utilisant la même méthode d’exploitation.
Le 29 janvier, Ivanti, un fournisseur mondial de logiciels de gestion mobile d'entreprise destinés aux gouvernements et aux entreprises privées, a tiré la sonnette d'alarme après avoir identifié deux vulnérabilités de sécurité critiques (CVE-2026-1281 et CVE-2026-1340) activement exploitées dans des attaques zero-day.
Ces vulnérabilités sont des vulnérabilités d'injection de code qui permettent aux attaquants d'exécuter n'importe quelle commande de leur choix sur un système non corrigé à partir d'un emplacement distant. Aucune authentification n'est nécessaire. Les hackers y voient un rêve devenu réalité ; Les équipes de sécurité informatique sont confrontées à un cauchemar.
Ce que cela signifie pour la sécurité du gouvernement
Cibler plusieurs institutions européennes en même temps indique qu’un effort coordonné est en cours. Qu’ils soient des criminels parrainés par l’État ou des criminels opportunistes, les attaquants obtiennent le même résultat : les données des fonctionnaires tombent entre de mauvaises mains. Les employés concernés sont désormais confrontés à un risque immédiat d’attaques de phishing ciblées.
Les attaquants utiliseront toutes les informations personnelles dont ils disposent pour leurs e-mails de phishing afin d'atteindre les employés. Au lieu d’envoyer des spams, les attaquants auront de vrais noms et numéros qui donneront l’impression que ces e-mails sont très réels, de sorte que les employés auront plus de mal à déterminer si l’e-mail qu’ils ont envoyé était crédible ou non.
Jusqu'à présent, la Commission européenne n'a répondu à aucune demande concernant cet incident ; il est clair que des enquêtes continues sont nécessaires. Une chose est claire : les plaintes concernant les lois sur la cybersécurité dépassent de loin les mesures préventives réellement en place.
En réponse, l’UE agit sur plusieurs fronts, depuis le renforcement de ses propres institutions contre les attaques jusqu’àenquêter de manière agressive sur la manière dont les plateformes mondialesgérer les données de ses citoyens.