Un vaste mouvement de compromission informatique touche actuellement les utilisateurs du progiciel Oracle PeopleSoft. Le groupe de cybercriminels connu sous le nom de ShinyHunters affirme avoir exploité une faille de sécurité non corrigée, dite « zero-day », pour dérober des données au sein de plus de 300 instances logicielles appartenant à plus d’une centaine d’organisations différentes. Selon les analyses des experts en cybersécurité de Mandiant, qui suivent cette campagne sous le nom de code UNC6240, cette attaque cible essentiellement les établissements d’enseignement supérieur, qui représenteraient près de 68 % des organisations victimes, principalement localisées aux États-Unis.
Une vulnérabilité notée 9,8 sur 10
La brèche exploitée, identifiée sous la référence CVE-2026-35273, se situe dans le composant de gestion des environnements (PSEMHUB) de PeopleTools, la fondation technique de PeopleSoft. Ce logiciel d’Oracle est utilisé par de nombreuses grandes entités pour gérer les ressources humaines, la paie ou encore la scolarité des étudiants. Cette faille a reçu un score de sévérité de 9,8 sur 10, car elle permet à un attaquant d’exécuter du code à distance sans aucune authentification, en se contentant d’un accès HTTP au serveur vulnérable. Les versions affectées seraient les itérations 8.61 et 8.62 de PeopleTools.
L’exploitation de cette vulnérabilité a débuté le 27 mai et s’est poursuivie jusqu’au 9 juin, alors qu’Oracle n’a publié une alerte de sécurité d’urgence, en dehors de son cycle mensuel de correctifs, que le 10 juin. Cette alerte est intervenue après qu’elle a été signalée aux équipes de la Zero Day Initiative, un programme de recherche en sécurité. Pendant toute la durée de l’attaque, la faille est donc restée inconnue de l’éditeur, ce qui a offert une fenêtre d’exploitation prolongée aux pirates.
Des données personnelles massivement dérobées
ShinyHunters aurait exfiltré des données sensibles, incluant des informations personnelles et des adresses électroniques. Un exemple frappant est celui de l’université de Nottingham, au Royaume-Uni. Selon les informations recueillies par la plateforme de notification de fuites Have I Been Pwned, environ 455 000 adresses e-mail uniques liées à cette institution auraient été compromises. Une quarantaine de gigaoctets de données auraient été dérobés lors de cette seule intrusion. Le groupe de pirates pratiquerait l’extorsion, menaçant de publier les informations volées si les victimes ne paient pas une rançon.
Un manque de réactivité notable en France
Alors que l’alerte a été donnée au niveau international, les autorités françaises tardent à réagir. Le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) n’a, à ce jour, émis aucun avis ou alerte spécifique concernant cette vulnérabilité CVE-2026-35273. Son dernier bulletin de sécurité, publié le 11 juin, couvre pourtant huit autres produits, allant de GitLab à Palo Alto Networks, mais ne mentionne pas PeopleSoft. Le dernier avis du CERT-FR consacré à ce logiciel d’Oracle remonte au cycle de correctifs de janvier. Ce silence pourrait laisser les organisations françaises utilisatrices de PeopleSoft sans directive claire pour se protéger, alors que la menace est active et documentée. Les experts recommandent aux entreprises concernées de se référer d’urgence au bulletin de sécurité publié par Oracle et d’appliquer les correctifs ou les mesures de contournement proposés.
