Oracle PeopleSoft : la faille zero-day exploitée par ShinyHunters frappe les universités

13/6/26
👈 les autres actualités

Une faille critique d'Oracle PeopleSoft a servi de porte d'entrée à l'un des groupes cybercriminels les plus actifs du moment : ShinyHunters a compromis plus de 100 organisations, dont une écrasante majorité d'universités. À l'heure où l'enseignement supérieur concentre des montagnes de données personnelles, l'incident rappelle brutalement qu'une vulnérabilité non corrigée se transforme vite en violation de données massive.

Ce qui s'est passé

Entre le 27 mai et le 9 juin 2026, le groupe ShinyHunters (suivi par les équipes de threat intelligence sous le nom UNC6240) a exploité CVE-2026-35273, une vulnérabilité critique du composant Environment Management de la suite Oracle PeopleSoft. Notée 9,8 sur l'échelle CVSS, elle permet l'exécution de code à distance sans authentification — le scénario le plus redouté par les équipes sécurité.

L'exploitation a précédé l'avis de sécurité publié par Oracle le 10 juin : il s'agit donc d'une faille zero-day, attaquée avant même qu'un correctif n'existe. En France, le CERT-FR (ANSSI) a relayé l'alerte le 12 juin via l'avis CERTFR-2026-AVI-0749. Au total, environ 300 instances vulnérables auraient été touchées, dont 68 % dans l'enseignement supérieur. L'université de Nottingham figure parmi les victimes confirmées : 40 Go de données personnelles et de dossiers de facturation appartenant à des centaines de milliers d'étudiants, actuels et anciens, ont été exfiltrés puis publiés sur le site de fuite du groupe.

Pourquoi c'est important

Pour un délégué à la protection des données, cet incident n'est pas un fait divers technique : c'est l'illustration parfaite de la chaîne RGPD qui se déclenche dès qu'une faille est exploitée. L'article 32 du RGPD impose des mesures techniques et organisationnelles appropriées au risque — et la gestion des correctifs en fait partie intégrante. Une instance PeopleSoft exposée sur Internet et non corrigée constitue, en soi, un manquement potentiel à cette obligation de sécurité.

Lorsque les données fuitent, l'organisation bascule dans le régime de la violation de données personnelles : notification à la CNIL sous 72 heures (article 33) et, lorsque le risque pour les personnes est élevé — ce qui est manifestement le cas ici avec des données d'identité et de facturation —, communication individuelle aux personnes concernées (article 34). Le secteur éducatif est particulièrement exposé : la France l'a déjà vécu avec la cyberattaque visant ÉduConnect, où les données d'élèves avaient été compromises. Savoir identifier rapidement un piratage conditionne la capacité à tenir ces délais légaux.

Ce que ça change pour les organisations

Trois réflexes s'imposent sans attendre. D'abord, inventorier et corriger : toute organisation utilisant Oracle PeopleSoft doit vérifier l'exposition de ses instances, appliquer le correctif Oracle et analyser ses journaux à la recherche de signes de compromission antérieurs au patch. Une faille zero-day implique que des accès ont pu avoir lieu avant la disponibilité du correctif.

Ensuite, documenter la décision et la réponse. Le principe d'accountability exige de pouvoir démontrer ce qui a été fait, et quand. Une politique de sécurité informatique formalisée, avec une procédure de gestion des vulnérabilités et un registre des violations à jour, est précisément ce que la CNIL attend désormais comme niveau de maturité minimal.

Enfin, activer le réflexe sous-traitant. Beaucoup d'instances PeopleSoft sont hébergées ou administrées par des prestataires. La CNIL a publié un scénario type de cyberattaque chez un sous-traitant qui rappelle l'articulation des articles 28, 32 et 33 : la chaîne de notification doit être organisée à l'avance entre responsable de traitement et sous-traitant, sous peine de griller les 72 heures réglementaires.

Ce que Leto pense de cette décision

Cet épisode confirme une tendance que nous observons depuis des mois : les attaquants ne cherchent plus la sophistication, ils cherchent la lenteur. ShinyHunters n'a pas inventé une attaque géniale ; le groupe a simplement été plus rapide que les équipes IT à exploiter une faille critique. Pour les DPO, la leçon est claire : la conformité RGPD ne se joue pas le jour de la fuite, mais des semaines avant, dans la rigueur du cycle de correctifs et la qualité de la procédure d'incident. Le secteur éducatif, sous-doté en cybersécurité et riche en données sensibles, devrait en faire une priorité absolue.

Sources : CERT-FR — CERTFR-2026-AVI-0749 · Google Cloud Threat Intelligence · BleepingComputer · The Hacker News

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026