Menace sur PeopleSoft : une faille critique exploitée pour des attaques massives et des extorsions
Par Mag-Info Tech editorial · 2026-06-13
Une faille zero-day critique dans PeopleSoft, exploitée par un groupe de ransomware
Une vulnérabilité non corrigée dans PeopleSoft, la suite logicielle d’entreprise détenue par Oracle, est actuellement exploitée par le groupe de cybercriminalité ShinyHunters pour infiltrer des centaines d’organisations et voler des données sensibles. Classée CVE-2026-35273 avec un score de criticité de 9,8 sur 10, cette faille de type SSRF (Server-Side Request Forgery) permet aux attaquants d’envoyer des requêtes depuis un serveur vulnérable vers d’autres systèmes internes de l’organisation ciblée. Contrairement à une faille classique, une SSRF donne la possibilité de contourner les protections réseau et d’accéder à des ressources normalement inaccessibles, ce qui en fait une menace particulièrement dangereuse.
Le groupe ShinyHunters, connu pour ses attaques par ransomware et ses fuites de données, a commencé à exploiter cette faille dès le 27 mai. Selon les observations de Google Mandiant, qui a confirmé l’attaque, les cybercriminels ont ciblé environ 300 endpoints répartis sur 100 organisations différentes. Parmi ces cibles, près de 70 % appartiennent au secteur de l’enseignement supérieur, ce qui suggère une stratégie délibérée pour maximiser l’impact et la valeur des données volées. Les attaquants ont déjà adressé des demandes d’extorsion à certaines victimes, menaçant de publier les données dérobées si une rançon n’est pas payée.
Des organisations déjà victimes, dont une université britannique
L’ampleur des dégâts commence à se révéler. L’Université de Nottingham a officiellement confirmé avoir été victime d’une cyberattaque exploitant cette faille PeopleSoft, qualifiant la fuite de données d’“importante”. L’établissement a précisé que des informations sensibles concernant ses étudiants avaient été compromises. Cette annonce fait suite à une publication de ShinyHunters, qui affirmait avoir dérobé plusieurs gigaoctets de données et menaçait de les rendre publiques si ses exigences n’étaient pas satisfaites.
Cette attaque illustre la rapidité avec laquelle les groupes cybercriminels peuvent transformer une faille zero-day en une opération lucrative. Les données volées, notamment dans le secteur de l’éducation, peuvent inclure des informations personnelles, des dossiers académiques ou des données financières, ce qui en fait une cible de choix pour les extorsions. Les universités, souvent moins bien équipées en matière de cybersécurité que les entreprises privées, sont particulièrement vulnérables à ce type d’attaques.
Comment fonctionne l’exploitation de la faille SSRF dans PeopleSoft
Une SSRF (Server-Side Request Forgery) exploite une faiblesse dans la manière dont une application traite les requêtes entrantes. Dans le cas de PeopleSoft, la faille permet à un attaquant de forcer le serveur à envoyer des requêtes vers des systèmes internes, comme des bases de données, des services cloud ou des outils de gestion. Cela peut inclure des requêtes vers des adresses IP locales ou des services internes, contournant ainsi les pare-feux et autres protections réseau.
Les attaquants peuvent utiliser cette faille pour cartographier le réseau interne de l’organisation, voler des identifiants ou accéder à des données sensibles. Dans le cas présent, ShinyHunters a exploité cette vulnérabilité pour accéder à des endpoints critiques et exfiltrer des données. La nature remotely exploitable de la faille signifie que les attaquants n’ont pas besoin d’être physiquement présents sur le réseau pour lancer l’attaque, ce qui rend la menace encore plus difficile à contenir.
Oracle réagit avec une correction partielle, mais le risque persiste
Oracle a reconnu l’existence de la faille et a publié une mesure d’atténuation temporaire pour limiter les risques d’exploitation. Cependant, la société n’a pas encore publié de correctif définitif, laissant les organisations exposées à des attaques continues. Les experts en cybersécurité soulignent que les mesures d’urgence, bien que nécessaires, ne suffisent pas à éliminer complètement le risque. Les organisations doivent donc appliquer rapidement les correctifs dès qu’ils seront disponibles.
Dans l’intervalle, les entreprises utilisant PeopleSoft sont invitées à renforcer leurs mesures de sécurité, notamment en limitant les accès réseau, en surveillant les requêtes suspectes et en segmentant leurs systèmes pour limiter la propagation des attaques. Les équipes informatiques doivent également être vigilantes face à toute activité inhabituelle, comme des connexions entrantes depuis des adresses IP inconnues ou des tentatives d’accès à des ressources internes.
Les motivations et méthodes de ShinyHunters
ShinyHunters est un groupe cybercriminel actif depuis plusieurs années, connu pour ses attaques par ransomware et ses fuites de données. Contrairement à d’autres groupes qui se concentrent sur le chiffrement des systèmes, ShinyHunters privilégie souvent l’extorsion directe en menaçant de publier des données volées. Cette stratégie, appelée “double extorsion”, permet aux attaquants de maximiser leurs gains en combinant rançon pour le décryptage et rançon pour la non-divulgation des données.
Dans le cas de l’exploitation de la faille PeopleSoft, le groupe a ciblé des organisations dans des secteurs variés, mais avec une prédilection pour l’enseignement supérieur. Les données volées dans ces institutions, telles que les dossiers étudiants ou les informations financières, ont une valeur élevée sur le marché noir. De plus, les universités sont souvent moins bien préparées pour faire face à des cyberattaques sophistiquées, ce qui en fait des cibles idéales pour des groupes comme ShinyHunters.
De vrais résultats grâce à l'IA de MEFAI. Obtenez 50 $ de réduction sur le plan Pro.
Sponsorisé · Les performances passées ne préjugent pas des résultats futurs. Ceci n'est pas un conseil financier.
Les conséquences pour les organisations touchées
Les organisations victimes de cette exploitation de la faille PeopleSoft doivent s’attendre à des conséquences graves. Outre les pertes financières liées aux demandes d’extorsion, elles risquent des amendes réglementaires pour non-conformité aux lois sur la protection des données, comme le RGPD en Europe. Les fuites de données peuvent également nuire à la réputation de l’organisation, entraînant une perte de confiance des étudiants, des partenaires ou des clients.
Pour les universités, les conséquences peuvent être particulièrement lourdes. Les données des étudiants, incluant des informations personnelles et académiques, sont protégées par des réglementations strictes. Une fuite peut entraîner des poursuites judiciaires, des sanctions et une détérioration de l’image de l’établissement. Les étudiants peuvent également être victimes de fraudes ou d’usurpations d’identité, ce qui aggrave encore l’impact de l’attaque.
Que doivent faire les entreprises et institutions pour se protéger ?
Face à cette menace, les organisations utilisant PeopleSoft doivent agir rapidement pour limiter les risques. La première étape consiste à appliquer la mesure d’atténuation temporaire publiée par Oracle, tout en surveillant les mises à jour officielles pour un correctif définitif. En parallèle, il est essentiel de renforcer les politiques de sécurité réseau, notamment en limitant les accès aux endpoints critiques et en segmentant les réseaux pour contenir d’éventuelles intrusions.
Les équipes de cybersécurité doivent également surveiller activement les activités suspectes, comme des connexions inhabituelles ou des tentatives d’accès à des ressources internes. L’utilisation d’outils de détection des intrusions (IDS) et de réponse aux incidents (IR) peut aider à identifier et neutraliser les attaques avant qu’elles ne causent des dommages importants. Enfin, il est crucial de sensibiliser les employés aux bonnes pratiques de cybersécurité, comme la reconnaissance des tentatives de phishing, qui peuvent servir de porte d’entrée à des attaques plus sophistiquées.
L’impact sur le paysage de la cybersécurité
Cette exploitation d’une faille zero-day dans PeopleSoft par ShinyHunters met en lumière les défis auxquels sont confrontées les organisations face à la sophistication croissante des cybermenaces. Les groupes cybercriminels ciblent désormais des logiciels largement utilisés, comme les suites ERP, pour maximiser l’impact de leurs attaques. Les entreprises doivent donc repenser leur approche de la cybersécurité, en passant d’une logique de réaction à une logique de prévention proactive.
Les éditeurs de logiciels, quant à eux, sont sous pression pour publier des correctifs plus rapidement et communiquer de manière transparente sur les vulnérabilités critiques. Les utilisateurs, de leur côté, doivent être conscients des risques et exiger des fournisseurs qu’ils maintiennent leurs systèmes à jour. Cette affaire rappelle également l’importance de la collaboration entre les acteurs publics et privés pour partager des informations sur les menaces et renforcer la résilience collective face aux cyberattaques.
Ce qu’il faut surveiller dans les prochaines semaines
Dans les semaines à venir, plusieurs éléments doivent être suivis de près. D’abord, l’évolution de la situation chez Oracle : la publication d’un correctif définitif pour la faille CVE-2026-35273 sera un soulagement pour les organisations concernées, mais son déploiement devra être rapide et efficace. Ensuite, l’activité de ShinyHunters : le groupe pourrait étendre ses attaques à d’autres secteurs ou cibler de nouvelles victimes, notamment si les rançons sont payées.
Enfin, les réactions des régulateurs et des autorités de protection des données seront déterminantes. Des enquêtes pourraient être lancées pour évaluer la responsabilité des organisations touchées et des mesures pourraient être prises pour renforcer les obligations en matière de cybersécurité. Les entreprises doivent donc se préparer à d’éventuelles audits ou sanctions, tout en mettant en place des plans de réponse aux incidents pour limiter l’impact des futures attaques.
Conclusion : une menace persistante nécessitant une action immédiate
La faille zero-day dans PeopleSoft exploitée par ShinyHunters rappelle cruellement que les cybermenaces ne cessent de se sophistiquer. Avec un score de criticité de 9,8/10 et une exploitation active, cette vulnérabilité représente un risque majeur pour des centaines d’organisations, en particulier dans l’enseignement supérieur. Bien qu’Oracle ait publié une mesure d’atténuation temporaire, l’absence de correctif définitif laisse les systèmes exposés.
Les organisations doivent agir sans délai : appliquer les correctifs dès leur disponibilité, renforcer leurs mesures de sécurité et surveiller activement les activités suspectes. Pour les victimes potentielles, la préparation est clé : plans de réponse aux incidents, sensibilisation des employés et collaboration avec les autorités compétentes peuvent faire la différence entre une intrusion mineure et une crise majeure. Dans un paysage cybercriminel en constante évolution, la vigilance et la proactivité restent les meilleures armes pour se protéger.
Plus dans Cybersécurité & Confidentialité
Faux signalements de fuites de données en Maine : le portail officiel suspendu pour abus
Le Maine a désactivé son portail public de signalement de fuites de données après des déclarations frauduleuses imitant Discord et VRChat, révélant une faille dans la vérification des notifications.
Arch Linux AUR : plus de 400 paquets compromis par un vol de comptes et un rootkit eBPF
Plus de 400 paquets de l’Arch User Repository ont été détournés pour installer un voleur de mots de passe Rust et un rootkit eBPF, ciblant les développeurs et systèmes de build.
Un disque dur perdu expose les données de 10,9 millions de clients d’un géant énergétique japonais
Un disque dur contenant les données personnelles de 10,9 millions de clients de Kyushu Electric a été perdu après qu’un serveur est resté non verrouillé. L’entreprise enquête et collabore avec les aut