Skip to content
Cyber Breaches
Recherche
Faille zero-dayContenu

La NAIC confirme une fuite de données après l'exploitation d'une faille zero-day Oracle PeopleSoft par ShinyHunters

La National Association of Insurance Commissioners a révélé le 23 juin 2026 que des attaquants avaient exploité une faille zero-day d'Oracle PeopleSoft pour accéder à une partie de son environnement ; dès le 25 juin, le groupe d'extorsion ShinyHunters avait publié en ligne les données volées, revendiquant plus de 3,1 téraoctets.

Victime
National Association of Insurance Commissioners (NAIC)
SecteurFinanceGouvernement
PaysÉtats-Unis
GroupeShinyHuntersUNC6240
CVECVE-2026-35273

Le 23 juin 2026, la National Association of Insurance Commissioners (NAIC) — l'organisation de normalisation et d'appui réglementaire basée à Kansas City qui regroupe les principaux régulateurs de l'assurance des 50 États américains, du district de Columbia et des cinq territoires des États-Unis — a confirmé avoir subi une fuite de données après que des attaquants ont exploité une faille zero-day dans Oracle PeopleSoft. La NAIC a indiqué qu'un accès non autorisé à une partie de son environnement avait été détecté le 11 juin 2026 et que l'intrusion s'inscrivait dans une vaste campagne ayant touché plusieurs organisations à travers le monde.

Ce qui s'est passé

La fuite découle de l'exploitation active de CVE-2026-35273, une faille critique d'exécution de code à distance dans Oracle PeopleSoft Enterprise PeopleTools notée 9,8 sur l'échelle CVSS, qui ne requiert ni authentification ni interaction de l'utilisateur. Le groupe Mandiant de Google a attribué la campagne plus large à l'acteur d'extorsion qu'il suit sous le nom d'UNC6240, mieux connu sous le nom de ShinyHunters, datant l'activité à partir du 27 mai 2026 — avant qu'Oracle ne publie un avis et un correctif hors cycle le 10 juin — ce qui signifie que la faille était une véritable zero-day pendant toute la fenêtre d'exploitation. ShinyHunters a affirmé avoir compromis plus de 100 organisations et plus de 300 instances PeopleSoft à l'aide de cette faille.

Données exposées

La NAIC a indiqué qu'elle utilisait PeopleSoft principalement pour ses rapports financiers internes et que son enquête avait conclu qu'aucune information personnelle identifiable ni donnée de paiement n'avait été consultée — notamment aucune donnée d'employé, coordonnées de virement électronique, donnée de capital fondé sur le risque, information d'assuré, donnée de courtier ou information de paiement d'inscription à des événements. ShinyHunters a toutefois affirmé avoir exfiltré plus de 3,1 téraoctets de données comprenant plus de 105 000 fichiers, et dès le 25 juin 2026 l'organisation a confirmé que les données volées avaient été publiées en ligne par l'acteur malveillant.

Contexte

La NAIC ne réglemente pas directement les assureurs mais fournit la technologie, les données et les cadres types qui sous-tendent la réglementation de l'assurance fondée sur les États à travers les États-Unis, ce qui en fait une cible de grande valeur dont la compromission a suscité l'attention du secteur de l'assurance comme des régulateurs. L'incident constitue l'une des victimes confirmées les plus en vue de la campagne PeopleSoft de ShinyHunters, qui a surtout frappé les établissements d'enseignement supérieur mais s'est étendue à des organismes para-gouvernementaux et financiers, illustrant comment une seule application d'entreprise non corrigée peut exposer d'importants volumes de données organisationnelles sensibles à une extorsion de masse.

Chronologie

  1. ShinyHunters commence à exploiter une faille zero-day d'Oracle PeopleSoft (CVE-2026-35273) dans une vaste campagne qui finira par compromettre plus de 100 organisations.

  2. Oracle publie un avis et un correctif d'urgence hors cycle pour CVE-2026-35273, une faille critique d'exécution de code à distance dans PeopleSoft Enterprise PeopleTools.

  3. La NAIC identifie un accès non autorisé à une partie de son environnement, lié à l'exploitation de PeopleSoft.

  4. La NAIC divulgue publiquement l'incident de sécurité, l'attribuant à la vaste campagne d'exploitation de la faille zero-day.

  5. La NAIC confirme que les données dérobées lors de la fuite ont été publiées en ligne par ShinyHunters, qui revendique plus de 3,1 To et plus de 105 000 fichiers.

Sources

  1. insurancejournal.comhttps://www.insurancejournal.com/news/national/2026/06/24/875119.htm
  2. insurancejournal.comhttps://www.insurancejournal.com/news/national/2026/06/25/875334.htm
  3. content.naic.orghttps://content.naic.org/about/security-update
  4. cybernews.comhttps://cybernews.com/news/naic-breach-shinyhunters-3tb-insurance-systems-data/
  5. scworld.comhttps://www.scworld.com/brief/naic-confirms-cyberattack-after-shinyhunters-claims-3-1tb-data-theft
  6. thehackernews.comhttps://thehackernews.com/2026/06/shinyhunters-exploits-oracle-peoplesoft.html

Incidents liés

Fuite de donnéesEn cours

ShinyHunters revendique le vol de 297 Go de données de paie et RH du Conseil de l'Europe via une faille zero-day Oracle PeopleSoft

Le groupe d'extorsion ShinyHunters a affirmé avoir dérobé quelque 297 Go de fiches de paie, de données RH et financières appartenant à plus de 10 000 employés, anciens et actuels, du Conseil de l'Europe en exploitant la faille zero-day Oracle PeopleSoft CVE-2026-35273, poussant l'organisation intergouvernementale à enquêter.

Victim
Council of Europe