ShinyHunters revendique le vol de 297 Go de données de paie et RH du Conseil de l'Europe via une faille zero-day Oracle PeopleSoft

Le groupe d'extorsion ShinyHunters a affirmé avoir dérobé quelque 297 Go de fiches de paie, de données RH et financières appartenant à plus de 10 000 employés, anciens et actuels, du Conseil de l'Europe en exploitant la faille zero-day Oracle PeopleSoft CVE-2026-35273, poussant l'organisation intergouvernementale à enquêter.

Le 14 juin 2026, le groupe d'extorsion ShinyHunters a affirmé publiquement avoir dérobé environ 297 Go de données au Conseil de l'Europe — la plus ancienne organisation intergouvernementale du continent, basée à Strasbourg et surtout connue pour la Convention européenne des droits de l'homme et la Cour européenne des droits de l'homme. Le groupe a menacé de divulguer le butin, fixant une échéance au 16 juin 2026, et le Conseil a déclaré enquêter sur ces affirmations.

Ce qui s'est passé

Selon les propres déclarations de ShinyHunters, le butin couvre environ 429 000 fichiers avec des enregistrements datant de 2011 à 2026, dont quelque 409 000 fiches de paie, 14 000 CV et 3 700 documents RH internes. Les attaquants affirment que ces données de paie et de ressources humaines concernent plus de 10 000 employés, anciens et actuels, sous-traitants et candidats répartis entre plusieurs entités du Conseil — le Secrétariat, la Direction des ressources humaines, l'Assemblée parlementaire et la Direction européenne de la qualité du médicament (EDQM) — et comprennent des informations salariales, des coordonnées bancaires, des dossiers fiscaux et de sécurité sociale, ainsi que des identifiants personnels comme les noms, adresses et coordonnées.

L'intrusion est liée à CVE-2026-35273, une faille critique (CVSS 9.8) d'exécution de code à distance non authentifiée dans Oracle PeopleSoft PeopleTools. ShinyHunters a exploité le bug en zero-day — une activité observée entre le 27 mai et le 9 juin 2026 environ, avant l'avis d'urgence d'Oracle du 10 juin — pour compromettre plus de 100 organisations exécutant des instances PeopleSoft vulnérables, dont de nombreuses universités. Le Conseil de l'Europe figure parmi les victimes les plus en vue à émerger de cette campagne.

Pourquoi c'est important

Les chiffres avancés ici sont ceux des attaquants et, au moment de la divulgation, le Conseil n'avait pas confirmé ce qui avait été dérobé, le cas échéant. Néanmoins, des jeux de données de paie et RH de ce type — coordonnées bancaires, numéros fiscaux et de sécurité sociale, salaires et CV s'étalant sur plus d'une décennie — sont précisément le matériau qui alimente l'usurpation d'identité, la fraude et l'hameçonnage ciblé, et leur exposition dans une institution traitant de sujets sensibles liés aux droits de l'homme et à la diplomatie comporte un risque accru. L'affaire souligne aussi comment une seule faille zero-day PeopleSoft a permis à un même groupe de passer de fuites massives dans les universités à une cible intergouvernementale européenne de premier plan.

Chronologie

27 mai 2026

Début de la fenêtre d'exploitation ensuite attribuée à l'abus de la faille zero-day Oracle PeopleSoft PeopleTools CVE-2026-35273, antérieure à l'avis d'Oracle.

10 juin 2026

Oracle publie un avis de sécurité d'urgence hors cycle pour CVE-2026-35273 après que la faille a été exploitée en zero-day contre plus de 100 organisations.

14 juin 2026

ShinyHunters revendique publiquement le vol d'environ 297 Go de données du Conseil de l'Europe et menace de les divulguer ; le Conseil indique enquêter sur ces affirmations.

Sources

theregister.comhttps://www.theregister.com/cyber-crime/2026/06/15/council-of-europe-hacked-in-shinyhunters-peoplesoft-heist/5255757

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/council-of-europe-investigates-shinyhunters-data-breach-claims/

cybernews.comhttps://cybernews.com/security/council-of-europe-data-breach-claim/

securityweek.comhttps://www.securityweek.com/shinyhunters-claims-council-of-europe-hack/

sqmagazine.co.ukhttps://sqmagazine.co.uk/shinyhunters-council-of-europe-data-breach/

Incidents liés

Faille zero-dayEn cours10 juin 2026

Faille zero-day d'Oracle PeopleSoft PeopleTools exploitée par ShinyHunters (CVE-2026-35273)

Oracle a publié une alerte d'urgence hors calendrier après que le groupe ShinyHunters a exploité une faille zero-day critique d'exécution de code à distance sans authentification dans PeopleSoft PeopleTools pour voler les données de plus de 100 organisations, en majorité des universités.

Victim: Oracle PeopleSoft

Fuite de donnéesEn cours11 juin 2026

Fuite des dossiers étudiants de l'Université de Nottingham revendiquée par ShinyHunters (2026)

L'Université de Nottingham a confirmé un incident informatique après que le groupe d'extorsion ShinyHunters a affirmé avoir volé environ 40 Go de données de son système de dossiers étudiants, exposant quelque 455 000 adresses e-mail ainsi que des noms, numéros de passeport et informations de paiement des frais.

Victim: University of Nottingham
Records: 455.0K

Fuite de donnéesEn cours7 juin 2026

Fuite d'extorsion ShinyHunters chez Baker Distributing via Salesforce (2026)

Après l'échec des négociations, le groupe d'extorsion ShinyHunters a publié des données qu'il affirme avoir volées dans les systèmes Salesforce et SharePoint de Baker Distributing, exposant plus de 100 000 adresses e-mail de clients et enregistrements de contact.

Victim: Baker Distributing Company
Records: 102.9K

Fuite de donnéesEn cours2 juin 2026

Fuite de données DentaQuest par ShinyHunters : 2,6 millions de comptes exposés (2026)

L'administrateur de prestations dentaires DentaQuest a confirmé une intrusion sur son réseau après que le groupe d'extorsion ShinyHunters a diffusé environ 234 Go de données volées, exposant des informations personnelles, d'identité et d'assurance santé liées à environ 2,6 millions de comptes.

Victim: DentaQuest
Records: 2.6M