Le 30 janvier dernier, une cyberattaque a ciblé l'infrastructure de gestion des smartphones de la Commission européenne. Les pirates ont exploité des failles critiques du logiciel Ivanti pour dérober des noms et numéros de téléphone. L'incident, maîtrisé en neuf heures par le CERT-EU, n'a pas compromis les appareils mais ouvre la porte à des risques de phishing. Une enquête est en cours pour évaluer l'ampleur des dégâts.
Le 30 janvier dernier, le CERT-EU, l'équipe d'intervention en sécurité informatique des institutions de l'Union, a détecté une activité suspecte. Une cyberattaque était en cours, visant un maillon essentiel de la sécurité de l'institution : son infrastructure centrale de gestion des terminaux mobiles (MDM). Cette plateforme, basée sur le logiciel Ivanti Endpoint Manager Mobile, est cruciale car elle permet d'administrer à distance l'ensemble du parc de smartphones et tablettes fournis aux agents, et donc de garantir leur sécurité.Comment les pirates ont-ils réussi à pénétrer le système ?
L'intrusion a été rendue possible par l'exploitation de deux vulnérabilités critiques, dites « zero day », présentes dans le logiciel Ivanti EPMM. Ces failles, particulièrement dangereuses, avaient été signalées par l'éditeur la veille de l'attaque. En les exploitant, les attaquants ont réussi à accéder à la plateforme d'administration à distance, mais heureusement pas directement aux smartphones des employés eux-mêmes.
L'exfiltration de données s'est donc limitée à des informations de contact, principalement des noms et des numéros de téléphone de certains membres du personnel. Bien que l'étendue exacte ne soit pas encore connue, ces données restent précieuses pour les cybercriminels, car elles peuvent servir de base à des campagnes de phishing très ciblées et potentiellement très convaincantes.Quelle a été la riposte de la Commission européenne ?
Face à l'alerte du CERT-EU, les équipes de la Commission européenne ont déclenché immédiatement leurs procédures de réponse. La mesure la plus radicale a été de débrancher et d'isoler les serveurs de gestion mobile du reste du réseau pour stopper net la progression des attaquants. Cette action décisive a permis de contenir l'incident en seulement neuf heures.
Durant cette courte période, les équipes techniques ont procédé à une analyse complète des journaux et des configurations, ont effacé tous les éléments malveillants et ont nettoyé intégralement le système. Grâce à cette réactivité, la compromission a été limitée à l'infrastructure de gestion et ne s'est pas propagée aux appareils mobiles, protégeant ainsi des données potentiellement bien plus sensibles.
Quelles sont les implications dans un contexte de menaces croissantes ?Cet incident n'est pas un cas isolé et s'inscrit dans un contexte de menaces grandissantes. Les autorités néerlandaises ont confirmé avoir subi une attaque similaire exploitant les mêmes failles Ivanti. Plus largement, les institutions publiques européennes sont devenues des cibles de choix, concentrant près de 40 % des cyberattaques recensées sur le continent selon l'ENISA.
Cette attaque intervient ironiquement alors que Bruxelles pilote une refonte majeure de sa législation sur la cybersécurité avec la directive NIS2 et le Cyber Resilience Act. Une enquête approfondie a été ouverte pour déterminer l'ampleur de la fuite et identifier d'éventuelles vulnérabilités. L'institution a rappelé que ce n'était pas sa première épreuve, une attaque majeure ayant déjà paralysé sa messagerie en 2011, un événement qui avait alors accéléré la création du CERT-EU.
merci à GNT
On nous a volé notre savoir sur les bouchons attachés des bouteilles en plastique 
