Cyberattaque contre la Commission européenne : la plateforme mobile MDM ciblée
Le 30 janvier, la Commission européenne a détecté une tentative d’intrusion visant son infrastructure centrale de gestion des terminaux mobiles. L’attaque, rapidement contenue selon Bruxelles, n’aurait pas compromis les appareils eux-mêmes. Toutefois, certaines données internes pourraient avoir été exposées. L’exécutif européen indique avoir neutralisé l’incident en moins de neuf heures. La cible : sa plateforme MDM (Mobile Device Management), un outil stratégique permettant d’administrer à distance les smartphones et tablettes professionnels, d’appliquer des politiques de sécurité et d’effacer des données en cas de perte ou de vol.
Des vulnérabilités zero-day exploitées dans la solution Ivanti
Selon le média spécialisé Zataz, cette tentative d’attaque s’inscrirait dans une campagne plus large exploitant deux failles critiques zero-day affectant la solution Endpoint Manager Mobile (EPMM) de l’éditeur Ivanti. Ces vulnérabilités permettaient des injections de code à distance. Des correctifs ont depuis été publiés par l’éditeur.
La menace ne s’est pas limitée aux institutions européennes. Aux Pays-Bas, l’Autorité de protection des données et le Conseil de la justice ont également été impactés. Des informations professionnelles noms, adresses e-mail et numéros de téléphone ont été exposées dans ces incidents.
Quelles données potentiellement exposées à Bruxelles ?
Dans le cas de la Commission européenne, aucune compromission directe des appareils mobiles n’a été constatée. Néanmoins, l’institution reconnaît que l’attaque pourrait avoir permis d’accéder aux noms et numéros de téléphone de certains membres du personnel. Peu de détails supplémentaires ont été communiqués. Or, le Règlement général sur la protection des données (RGPD) impose à toute organisation victime d’une violation de notifier l’incident dans un délai maximal de 72 heures. Cette notification doit préciser la nature de la fuite, le volume de données concerné, les personnes impactées et les mesures correctives mises en œuvre.
Pour l’instant, la Commission se limite à indiquer qu’un examen approfondi sera mené et que des mesures supplémentaires seront adoptées afin de renforcer la sécurité de ses systèmes.
Des institutions européennes sous pression permanente
Face à la montée des cybermenaces, la Commission s’appuie sur le CERT-EU, son centre de réponse aux incidents de cybersécurité. Créé en 2011, ce service assure une surveillance 24h/24 et 7j/7 et regroupe plus de 60 experts chargés de détecter et neutraliser les attaques visant les institutions européennes. Le dernier rapport annuel du CERT-EU révèle qu’en 2025, le nombre d’alertes de sécurité a atteint un niveau record. Plus de 30 groupes malveillants distincts ont ciblé directement les entités de l’Union européenne en utilisant plus de 160 techniques différentes : exploitation de failles zero-day, ingénierie sociale avancée, attaques contre les sous-traitants ou encore spearphishing ciblé. Dans un contexte géopolitique tendu, les institutions démocratiques et les infrastructures critiques européennes figurent parmi les cibles prioritaires.
Vers un durcissement du cadre réglementaire européen
En parallèle, Bruxelles poursuit la révision de son cadre réglementaire en matière de cybersécurité. Le projet dit « Cyber Security Act 2 » vise notamment à exclure les fournisseurs considérés comme présentant un risque élevé, en particulier dans les infrastructures stratégiques comme la 5G.Sans les citer explicitement, le débat concerne depuis plusieurs années certains équipementiers étrangers actifs dans les réseaux européens. L’incident du 30 janvier rappelle en tout cas une réalité persistante : même les institutions chargées d’encadrer la cybersécurité ne sont pas à l’abri des menaces numériques.
source: zdnet