Une faille critique dans Oracle PeopleSoft inquiète les experts : des hackers affirment avoir compromis plus de 100 organisations

Une vulnérabilité critique présentée comme une zero-day dans Oracle PeopleSoft est associée à une vague d’intrusions visant des environnements ERP, avec des vols de gigaoctets de données et des impacts signalés dans l’enseignement supérieur.

La faille, suivie sous l’identifiant CVE-2026-35273, concerne PeopleSoft Enterprise PeopleTools 8.61 et 8.62, et pourrait toucher indirectement des déploiements PeopleSoft Enterprise Applications. Des acteurs se présentant comme affiliés au groupe ShinyHunters affirment avoir ciblé environ 300 instances PeopleSoft appartenant à plus de 100 organisations, tandis que l’Université de Nottingham a confirmé une compromission et une fuite de données personnelles à grande échelle.

Oracle alerte sur CVE-2026-35273 et recommande une action immédiate

Oracle a publié un avis de sécurité qualifiant CVE-2026-35273 de vulnérabilité critique affectant PeopleSoft Enterprise PeopleTools 8.61 et 8.62. Dans son message, l’éditeur insiste sur le caractère prioritaire des mesures de réduction du risque et recommande une mise en uvre immédiate des mitigations proposées. Cette formulation, centrée sur la réduction d’exposition, a retenu l’attention de nombreux responsables sécurité, car elle intervient dans un contexte où des attaques sont déjà rapportées par plusieurs sources du secteur.

Sur un point clé, Oracle n’a pas confirmé publiquement que la faille avait été exploitée “dans la nature” comme une zero-day. L’absence de confirmation ne signifie pas absence d’attaque, mais elle complique la communication de crise côté clients, qui doivent arbitrer entre urgence opérationnelle et disponibilité des correctifs. Plusieurs organisations se retrouvent face à une situation classique des vulnérabilités critiques sur des briques d’ERP, où l’application de changements de configuration peut exiger des validations internes, des fenêtres de maintenance et des tests de non-régression.

Autre élément observé par les équipes IT, les informations disponibles indiquent que seules des mitigations auraient été publiées à ce stade, plutôt qu’un correctif complet. Dans les environnements PeopleSoft, une mitigation peut prendre la forme de désactivation de composants exposés, de restrictions d’accès, de règles WAF, de durcissement des endpoints, ou de changements de paramétrage sur les services web et consoles d’administration. Ce type de réponse est fréquent lorsque la correction logicielle nécessite un cycle plus long, mais il crée une période où la surface d’attaque doit être réduite par des moyens défensifs.

La criticité tient aussi à la place de PeopleSoft dans les systèmes d’information. PeopleSoft sert à gérer des fonctions centrales, RH, paie, finance, campus operations, supply chain, et des référentiels d’identités. Une compromission peut donc dépasser le simple vol de documents, en ouvrant l’accès à des données structurées, à des flux d’intégration, et potentiellement à des comptes de service utilisés pour l’interconnexion avec d’autres applications. Dans ce contexte, la recommandation d’action immédiate vise autant à empêcher l’intrusion qu’à limiter la capacité d’un attaquant déjà présent à étendre ses droits.

ShinyHunters revendique 300 instances PeopleSoft visées et des vols de gigaoctets

Des hackers se présentant comme affiliés à ShinyHunters ont expliqué à des médias spécialisés avoir ciblé environ 300 instances PeopleSoft rattachées à plus de 100 organisations. Leur discours décrit une mécanique d’attaque reposant sur une chaîne combinant des failles anciennes et une zero-day, afin d’atteindre les données stockées dans les environnements PeopleSoft. Ce type de “chaining” est courant dans les intrusions modernes, l’attaquant cherchant un premier point d’appui, puis exploitant une faiblesse supplémentaire pour escalader ses privilèges ou contourner des contrôles.

Le groupe ShinyHunters est déjà associé à des campagnes de vol de données visant des services largement déployés en entreprise. Les acteurs de ce type privilégient des plateformes offrant un rendement élevé, une fois l’accès obtenu, la base de données contient des informations monétisables et réutilisables pour l’extorsion. Dans le cas d’un ERP, le but n’est pas seulement d’exfiltrer des fichiers, mais d’extraire des tables, des exports, des journaux, ou des référentiels d’utilisateurs, ce qui se traduit rapidement par des volumes de gigaoctets.

Les attaquants indiquent aussi que la “victim outreach” ne ferait que commencer. Cette expression renvoie à une phase où l’acteur contacte les organisations compromises pour monnayer la non-publication de données ou réclamer une rançon, parfois avant même de publier la liste complète des victimes sur un site de fuite. Dans ce modèle, la pression se construit par paliers, preuve d’accès, échantillons de données, menace de publication, puis diffusion partielle si la négociation échoue. Les organisations qui découvrent l’intrusion tardivement peuvent se retrouver confrontées à une fuite déjà en circulation, ce qui accélère les obligations réglementaires et la gestion de crise.

Plusieurs signaux externes ont renforcé l’attention portée à cette affaire. Des chercheurs ont indiqué que des éléments techniques semblaient corroborer une exploitation active, et des responsables de la réponse à incident, dont Charles Carmakal chez Mandiant, ont alerté sur un scénario de zero-day exploitation. Quand un acteur de la réponse à incident évoque une exploitation active, cela suggère que des traces ont été observées sur le terrain, tentatives d’accès, scans ciblés, compromissions confirmées, ou corrélations entre endpoints exposés et activité malveillante. Pour les DSI, le risque n’est pas théorique, il se traduit par une course entre la réduction d’exposition et la capacité de l’attaquant à industrialiser l’accès.

Mandiant contacte plus de 100 organisations et mesure l’impact sur l’enseignement supérieur

Selon les informations disponibles, Mandiant a notifié plus de 100 organisations dont les adresses IP correspondaient à des endpoints potentiellement vulnérables. Ce type de notification s’appuie généralement sur des observations de télémétrie, des scans, des indicateurs de compromission, ou des corrélations entre services exposés et signatures d’attaque. Pour les organisations concernées, recevoir une alerte externe est souvent le premier signal, surtout lorsque l’ERP est hébergé en interne ou géré par un prestataire et que les logs ne sont pas centralisés dans un SIEM.

Le secteur le plus touché serait l’enseignement supérieur, avec une proportion annoncée de 68% des organisations notifiées. La concentration géographique se situerait majoritairement aux États-Unis, ce qui correspond à l’implantation historique de PeopleSoft dans les universités et grandes institutions. Les campus gèrent des volumes importants de données personnelles et administratives, dossiers étudiants, paiements, bourses, données RH, services de santé ou d’accompagnement, et un grand nombre de comptes utilisateurs, étudiants, alumni, personnels, prestataires. Cette densité d’identités et de données sensibles rend l’ERP attractif pour des acteurs orientés extorsion.

Les retours de terrain décrivent deux situations, certaines organisations auraient bloqué l’activité à temps, d’autres auraient été compromises avec des données publiées sur un site de fuite. Cette différence peut tenir à des facteurs concrets, exposition directe d’un composant, présence d’un WAF, segmentation réseau, rapidité d’application des mitigations, ou capacité à détecter des comportements anormaux, créations de comptes, exports massifs, requêtes inhabituelles, exfiltration via HTTPS. Dans les ERP, une extraction peut passer pour de l’activité légitime si elle utilise des comptes applicatifs ou des fonctions d’export standard, ce qui exige une surveillance fine des volumes et des patterns.

Les universités et écoles font aussi face à des contraintes opérationnelles, périodes d’inscription, paie, clôtures comptables, demandes d’attestations. Couper un service PeopleSoft ou restreindre fortement les accès peut interrompre des processus critiques. De ce fait, la gestion du risque doit intégrer des mesures compensatoires, filtrage réseau, accès VPN renforcé, MFA sur les consoles, limitation des IP autorisées, durcissement des comptes de service, et revue des intégrations. Dans un contexte de menace active, la fenêtre de décision se compte souvent en heures, pas en semaines, ce qui met sous tension les chaînes de validation internes.

L’université de Nottingham confirme une fuite et 455 000 emails apparaissent

L’Université de Nottingham fait partie des premières victimes confirmées publiquement. L’établissement a reconnu une compromission décrite comme significative, avec une fuite de données personnelles concernant des étudiants actuels et des anciens. La confirmation par une organisation donne un repère factuel dans une affaire où de nombreuses revendications circulent avant validation indépendante. Pour les autres institutions utilisant PeopleSoft, ce cas sert de signal d’alarme, car il montre que l’attaque ne se limite pas à des tentatives de scan, mais peut aboutir à une exfiltration exploitable.

Le service Have I Been Pwned a comptabilisé environ 455 000 adresses e-mail uniques dans l’ensemble de données lié à cette fuite. Au-delà des emails, des informations sensibles sont mentionnées, noms, adresses, numéros de téléphone, et des catégories particulièrement sensibles selon les cadres réglementaires, comme des données de passeport, des informations sur l’ethnicité et des éléments relatifs aux handicaps. La présence de telles données augmente fortement les risques de fraude, d’usurpation d’identité et de ciblage par ingénierie sociale, car elle permet de construire des scénarios crédibles de phishing ou de vishing.

Dans un établissement universitaire, l’impact dépasse la sphère informatique. Les services juridiques, la communication, les relations alumni, la vie étudiante et les ressources humaines peuvent être sollicités simultanément. Les personnes concernées attendent des réponses concrètes, quelles données ont été touchées, à quelle période, quelles mesures de protection sont recommandées, surveillance de comptes, vigilance sur les appels, renouvellement de documents, et quels canaux officiels utiliser. La gestion de la relation avec des dizaines ou centaines de milliers de personnes implique des centres d’appels, des FAQ dédiées, des notifications réglementaires et une coordination avec les autorités.

Les données universitaires ont une valeur durable. Un dossier étudiant ou alumni reste pertinent pendant des années, car il contient des informations stables, identité, historique, parfois documents justificatifs. Pour un attaquant, cela facilite des attaques à long terme, ouverture de lignes téléphoniques, tentatives de réinitialisation de comptes, création de faux profils, ou escroqueries ciblant les familles. Les éléments comme l’ethnicité ou le handicap peuvent aussi être utilisés pour du chantage ou des discriminations, ce qui accroît la gravité du préjudice potentiel. Dans ce contexte, la question n’est pas seulement de colmater une faille, mais d’organiser une réponse centrée sur la protection des personnes.

Pourquoi PeopleSoft est une cible rentable pour l’extorsion et la revente de données

PeopleSoft est un ERP conçu pour centraliser des fonctions vitales, RH, paie, finance, achats, gestion de la scolarité et opérations de campus. Cette centralisation crée une “zone de valeur” unique, une fois l’accès obtenu, un attaquant peut trouver des données structurées, des identifiants, des historiques de transactions, des pièces justificatives, et des liens vers d’autres systèmes via des connecteurs. Dans une logique criminelle, compromettre un ERP peut rapporter plus qu’un poste utilisateur, car la densité de données et la capacité d’extraction sont supérieures.

Les environnements PeopleSoft sont souvent complexes et durables, avec des personnalisations, des modules historiques, des intégrations avec des outils de BI, des plateformes de paiement, des systèmes de gestion d’identité, et des services cloud. Cette complexité peut générer des zones grises, comptes de service trop permissifs, endpoints exposés pour des partenaires, règles de pare-feu conservées pour compatibilité, versions hétérogènes. Les attaquants exploitent fréquemment ces angles morts, surtout quand une organisation a du mal à maintenir un inventaire précis de ce qui est accessible depuis Internet.

Le modèle d’extorsion moderne repose sur la preuve. Publier quelques captures d’écran, un échantillon de tables, ou un export partiel suffit souvent à établir la crédibilité de l’attaque. Les criminels peuvent ensuite menacer de publier l’intégralité, ou d’avertir des régulateurs et des médias. Dans des secteurs comme l’enseignement supérieur, la réputation et la confiance sont des actifs majeurs, ce qui renforce l’effet de levier. Les volumes mentionnés en gigaoctets laissent penser à des extractions massives, compatibles avec des exports de bases, des dumps, ou des archives de documents associées à des dossiers.

La mention de techniques récentes, vishing, tokens volés, contrôles d’accès faibles, s’inscrit dans une tendance où l’attaque combine vulnérabilités techniques et compromissions d’identités. Même si CVE-2026-35273 est au cur de l’alerte, la réalité d’une intrusion peut inclure des étapes supplémentaires, récupération d’identifiants via appels frauduleux, contournement de MFA via fatigue, vol de cookies de session, puis utilisation d’un point faible applicatif pour élargir l’accès. Pour les défenseurs, cela implique de traiter simultanément la faille, l’hygiène IAM, et la détection d’actions anormales.

Dans l’immédiat, les organisations utilisant PeopleSoft cherchent à réduire la surface d’attaque, appliquer les mitigations Oracle, restreindre l’exposition des consoles, vérifier les journaux, et chasser des indicateurs de compromission. Les équipes qui ont déjà subi des scans ou des tentatives d’exploitation doivent aussi considérer le risque de persistance, comptes créés, web shells, clés API, tâches planifiées, ou modifications discrètes de configuration. La pression est d’autant plus forte que les attaquants revendiquent un nombre élevé de cibles, ce qui suggère une industrialisation et une sélection opportuniste des environnements les plus faciles à atteindre.