Nissan Americas divulgue une fuite de données d'employés via une faille zero-day d'Oracle PeopleSoft
Les activités de Nissan sur le continent américain ont révélé que des attaquants exploitant une faille zero-day d'Oracle PeopleSoft avaient accédé à des données sensibles d'employés actuels et anciens aux États-Unis, au Canada, au Mexique et au Brésil.
- Victime
- Nissan Americas
Le 29 juin 2026, des informations ont confirmé que Nissan Americas — les activités du constructeur automobile japonais pour l'Amérique du Nord, centrale et du Sud, dont le siège se trouve à Franklin (Tennessee) — avait subi une fuite de données touchant des employés actuels et anciens après que des attaquants ont exploité une faille zero-day d'Oracle PeopleSoft. Nissan a commencé à notifier les personnes concernées fin juin, les informant qu'un tiers non autorisé avait pu accéder à un volume important de données de personnel sensibles.
L'intrusion est liée à CVE-2026-35273, une faille zero-day critique d'Oracle PeopleSoft PeopleTools qui a été exploitée dans la nature entre le 27 mai et le 9 juin 2026 environ — avant qu'Oracle ne publie un correctif hors cycle. Mandiant, filiale de Google, attribue la campagne d'exploitation de PeopleSoft au groupe de vol de données et d'extorsion ShinyHunters, suivi sous le nom d'UNC6240, qui aurait compromis plus de 100 organisations et des centaines d'instances PeopleSoft exposées sur Internet au cours de la campagne.
Ce qui a été exposé
Selon les notifications de Nissan, les données susceptibles d'avoir été consultées comprennent les coordonnées, informations et numéros de comptes bancaires, numéros de sécurité sociale (ou numéros d'assurance sociale et autres identifiants nationaux), données financières et fiscales, ainsi que les informations relatives aux personnes à charge et bénéficiaires. Nissan indique que l'exposition a touché des employés actuels et anciens dans ses activités aux États-Unis, au Canada, au Mexique et au Brésil. L'entreprise n'a pas publié de nombre total de personnes concernées.
Réponse
Nissan indique avoir pris des mesures pour sécuriser les systèmes touchés, fait appel à des spécialistes externes en cybersécurité pour enquêter, et travaille avec Oracle à la suite de la divulgation de la vulnérabilité. L'entreprise offre aux employés concernés une surveillance gratuite du crédit et du dark web et a notifié les régulateurs concernés, notamment en déposant des avis de fuite auprès des autorités d'États américains.
Pourquoi c'est important
La divulgation de Nissan montre comment une seule faille zero-day dans un logiciel d'entreprise peut se répercuter en notifications de fuite chez certaines des plus grandes sociétés du monde. PeopleSoft sous-tend les fonctions de paie et de ressources humaines d'une vaste base de grands employeurs ; sa compromission expose précisément les données personnelles et financières concentrées — numéros de sécurité sociale, comptes bancaires, dossiers fiscaux — que les groupes d'extorsion peuvent monnayer. Pour les salariés de Nissan, la fuite entraîne un risque durable de vol d'identité et de fraude qui persiste bien après la correction des systèmes vulnérables.
Chronologie
Première exploitation observée de la faille zero-day d'Oracle PeopleSoft (CVE-2026-35273) contre des déploiements exposés sur Internet, selon Mandiant.
L'activité d'exploitation contre les instances PeopleSoft se poursuit jusqu'à cette date avant la publication de l'avis d'Oracle.
Nissan commence à envoyer des lettres de notification aux employés concernés.
Des informations publiques détaillent la fuite de données d'employés de Nissan Americas et son lien avec la faille zero-day de PeopleSoft.
Sources
- theregister.comhttps://www.theregister.com/security/2026/06/29/nissan-says-oracle-peoplesoft-break-in-may-have-spilled-payroll-records-ssns/5263534
- infosecurity-magazine.comhttps://www.infosecurity-magazine.com/news/nissan-oracle-peoplesoft-zero-day/
- govinfosecurity.comhttps://www.govinfosecurity.com/nissan-traces-data-breach-to-peoplesoft-zero-day-exploit-a-32113
- cyberdaily.auhttps://www.cyberdaily.au/security/13825-hacked-automotive-giant-nissan-discloses-multi-country-data-breach