ShinyHunters exploite un 0‑day Oracle: NAIC touchée, 100+ organisations

Oracle a publié le 10 juin 2026 un avis de sécurité d’urgence pour CVE‑2026‑35273 (PeopleSoft PeopleTools, CVSS 9,8), après exploitation active par ShinyHunters/UNC6240 entre le 27 mai et le 9 juin. Le 23 juin, la NAIC a confirmé un accès non autorisé, tandis que le groupe revendique 3,1 To exfiltrés et plus de 100 organisations visées.

Les faits

Selon Google/Mandiant, des endpoints PeopleSoft vulnérables ont été ciblés, avec des fuites publiées dès le 9 juin sur le site de fuites de ShinyHunters. La NAIC indique une compromission détectée le 11 juin via PeopleSoft. Oracle a diffusé un correctif le 10 juin. Les attaques et publications s’échelonnent du 27 mai au 26 juin 2026.

Cadre légal et fondement

Le cadre d’obligations du RGPD (articles 32 à 34) impose des mesures de sécurité appropriées, l’évaluation rapide, la notification à l’autorité sous 72 heures et l’information des personnes concernées si le risque est élevé. Les logs, scripts et configurations exfiltrés peuvent contenir des données personnelles.

Au titre de NIS 2 et de sa transposition au Luxembourg, les entités essentielles/importantes doivent notifier un incident significatif (alerte précoce < 24 h, notification sous 72 h, rapport final sous 1 mois), notamment si un ERP RH/finance en production est affecté.

Dans le secteur financier, DORA et les attentes de la CSSF exigent une gouvernance des risques TIC, une gestion rigoureuse des vulnérabilités et des capacités de réponse et de récupération éprouvées.

Ce que cette affaire change pour les entreprises luxembourgeoises

• Risque immédiat pour les DSI/DSO opérant PeopleSoft ou des ERP exposés dans l’UE: exploitation avérée avant correctif, fuite de configurations/logs/scripts facilitant ré‑intrusions, extorsion et fraudes.
• Les entités NIS 2 doivent présumer l’exposition si des portails PeopleSoft ont été accessibles entre le 27/05 et le 10/06, et lancer sans délai les vérifications d’IoC.
• Délais réglementaires serrés: notifications RGPD (72 h) et NIS 2 (alerte < 24 h, notification 72 h) à coordonner avec les autorités locales et régulateurs sectoriels.

Actions concrètes à entreprendre cette semaine

• Appliquer le correctif Oracle pour CVE‑2026‑35273, isoler tout portail PeopleSoft exposé, renforcer WAF/egress, désactiver comptes techniques hérités, forcer la rotation des clés/secrets des intégrations.
• Mener une chasse aux menaces ciblée sur la fenêtre 27/05–10/06: artefacts SSRF/RCE, endpoints PeopleTools, outils d’archivage/upload, journaux de reverse‑proxy et accès anormaux aux dépôts/s3 compatibles. Documenter preuves et horodatages.
• Préparer conformité et communication: activer le plan RGPD/NIS 2, rédiger l’alerte précoce et le projet de notification. Pour la détection continue et la réponse, appuyez‑vous sur un SOC managé pour la détection d’incidents.

Nota

Cet article couvre la campagne Oracle PeopleSoft (CVE‑2026‑35273) et la violation NAIC divulguée la semaine du 22–29 juin 2026; il ne recoupe pas d’autres incidents antérieurs.

Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.