ShinyHunters vole 297 Go de données des systèmes RH du Conseil de l'Europe
Le Conseil de l'Europe, la principale institution du continent en matière de droits de l'homme, de démocratie et d'État de droit, est devenu la dernière victime de premier plan du groupe de ransomware ShinyHunters. La violation a exposé 297 Go de données RH et de paie sensibles, comprenant plus de 409 000 fiches de paie et plus de 14 000 CV de salariés, touchant le personnel du Secrétariat et de la Direction des ressources humaines. La violation des données du Conseil de l'Europe par ShinyHunters n'est pas qu'un simple incident de cybersécurité ; c'est un rappel cinglant que même les organismes chargés de protéger les droits des citoyens peuvent échouer à protéger les données personnelles de leurs propres agents.
Ce qui a été dérobé : au cœur de la violation de 297 Go des données RH et de paie
Selon les affirmations de ShinyHunters, le butin de cette violation est considérable. Plus de 429 000 fichiers ont été compromis, comprenant des fiches de paie, des CV, des contrats de travail et des dossiers RH internes. Les fiches de paie représentent à elles seules plus de 409 000 documents, ce qui signifie que cette violation couvre probablement une part importante des effectifs actuels et passés du Conseil.
La sensibilité de ces données ne peut être surestimée. Les fiches de paie contiennent généralement les noms complets, les adresses personnelles, les numéros d’identification nationaux, les coordonnées bancaires, les informations salariales et les données fiscales. Les CV ajoutent une couche supplémentaire d’exposition, avec les parcours éducatifs, les références personnelles et les détails des emplois précédents. Ensemble, ces informations fournissent aux cybercriminels tout ce dont ils ont besoin pour mener des campagnes de phishing ciblées, commettre des fraudes à l’identité ou vendre des profils individuels sur les places de marché du dark web.
Ce type d’attaque ciblant les RH est de plus en plus courant. La violation du système RH de Statistics South Africa a suivi un schéma étonnamment similaire, les attaquants ciblant l’infrastructure interne des ressources humaines pour extraire les dossiers des employés plutôt que de s’en prendre aux systèmes orientés clients.
Pourquoi le Conseil de l’Europe est une cible de grande valeur pour les groupes de ransomware
À première vue, une organisation intergouvernementale axée sur les droits de l’homme peut sembler une cible inhabituelle pour un ransomware. En pratique, elle est exceptionnellement attrayante. Le Conseil de l’Europe emploie des milliers d’agents répartis entre son siège à Strasbourg et de nombreux bureaux extérieurs, ce qui signifie que ses bases de données RH regorgent de données personnelles. Le prestige institutionnel accroît également le levier dont disposent les groupes de ransomware : le coût réputationnel d’une violation est plus élevé pour un organisme dont le mandat englobe les droits des citoyens et la protection des données.
ShinyHunters a l’habitude bien documentée de cibler de grandes organisations très visibles afin de maximiser la pression en faveur du paiement d’une rançon. Plus tôt cette année, le groupe a lancé un ultimatum public à l’opérateur télécoms néerlandais Odido. Comme le détaille la couverture de la violation de données d’Odido touchant 8 millions de clients, ShinyHunters a menacé de publier les données clients volées si aucune rançon n’était versée, démontrant sa volonté d’utiliser la divulgation publique comme moyen de pression. Ce même mode opératoire semble être utilisé ici.
La violation du Conseil de l’Europe fait suite à l’attaque revendiquée précédemment par ShinyHunters contre l’infrastructure cloud de la Commission européenne, qui aurait impliqué plus de 350 Go de données de la plateforme Europa.eu. Pris ensemble, ces incidents suggèrent que le groupe a délibérément ciblé les institutions européennes dans le cadre de ses opérations en 2025 et 2026.
L’ironie des gardiens de la vie privée qui ne parviennent pas à sécuriser les données personnelles
Le Conseil de l’Europe est l’organisme responsable de la Convention européenne des droits de l’homme et supervise les cadres que les États membres utilisent pour régir la protection des données et la vie privée numérique. Autrement dit, c’est une institution qui fixe la norme en matière de traitement et de protection des données personnelles. L’ironie de voir cette institution subir une violation d’une telle ampleur est difficile à ignorer.
Il ne s’agit pas d’une contradiction isolée. Les grandes institutions disposent souvent d’une infrastructure informatique ancienne et complexe, de relations tentaculaires avec les fournisseurs et de données sur le personnel réparties sur des dizaines de systèmes interconnectés. Ces réalités structurelles créent des surfaces d’attaque réellement difficiles à gérer, quels que soient les engagements officiels de l’organisation en matière de confidentialité. La violation montre que les bonnes intentions stratégiques ne se traduisent pas automatiquement par une bonne sécurité opérationnelle.
Pour les employés concernés, les conséquences sont immédiates et personnelles. Toute personne dont la fiche de paie ou le CV figurait parmi les plus de 429 000 fichiers risque désormais de voir ses données financières et ses documents d’identité exposés. La vente sur le dark web de données RH institutionnelles, comme celles observées dans l’affaire des données clients d’Iliad Italia, a tendance à suivre rapidement les violations, offrant aux criminels un marché tout prêt pour les enregistrements volés.
Comment les individus peuvent se protéger lorsque les institutions faillent
Lorsqu’un employeur ou une institution subit une violation, les personnes touchées n’ont qu’un contrôle limité sur ce qui a été dérobé. Mais il existe des mesures concrètes que vous pouvez prendre pour limiter l’exposition supplémentaire.
Surveillez attentivement vos comptes financiers. Les coordonnées bancaires exposées dans les fiches de paie peuvent être utilisées pour des fraudes directes. Mettez en place des alertes pour les transactions inhabituelles et demandez-vous si un gel temporaire des demandes de crédit est approprié dans votre pays.
Soyez vigilant face aux tentatives de spear-phishing. Les attaquants qui disposent de votre CV et de votre fiche de paie connaissent votre employeur, votre tranche salariale et votre intitulé de poste. Ils peuvent rédiger des courriels d’usurpation d’identité très convaincants en utilisant ce contexte. Traitez avec un scepticisme accru les messages inattendus demandant une action ou des identifiants, même s’ils semblent provenir de collègues ou des RH.
Utilisez un VPN sur les réseaux publics et partagés. Bien qu’un VPN n’empêche pas une violation côté serveur, il protège votre trafic contre l’interception lorsque vous accédez à distance aux portails de l’employeur ou à des comptes sensibles, réduisant ainsi un vecteur de vol d’identifiants.
Vérifiez si vos données apparaissent dans les bases de données de violations. Les services qui surveillent les ensembles de données de violations connues peuvent vous alerter si votre adresse e-mail ou d’autres identifiants apparaissent dans de nouveaux jeux de données publiés.
Demandez des éclaircissements à votre employeur. Si vous êtes employé ou contractuel du Conseil de l’Europe, insistez pour obtenir une communication précise sur les dossiers concernés et les mesures de remédiation proposées.
Les violations institutionnelles comme celle-ci nous rappellent que l’hygiène des données personnelles est d’autant plus importante que les organisations qui détiennent vos informations ne parviennent pas à les protéger. Passer en revue votre exposition, sécuriser vos comptes et rester vigilant face à l’ingénierie sociale ne sont pas des options facultatives ; c’est la réponse de base lorsque des données que vous n’avez jamais remises à des criminels se retrouvent malgré tout entre leurs mains.
L’escalade des attaques de ShinyHunters contre les institutions européennes suggère que ce groupe ne ralentit pas. Rester informé et prendre des mesures proactives pour votre propre sécurité numérique est la réponse la plus efficace pour les individus pris entre deux feux.
