Oracle PeopleSoft, ce vieux compagnon de route des grandes organisations, revient brutalement dans l’actualité cyber. Le gang ShinyHunters affirme avoir compromis des serveurs PeopleSoft chez plus de 100 organisations, essentiellement dans l’éducation, avec des données RH, administratives et étudiantes potentiellement dans la nature.
PeopleSoft n’est pas une petite application périphérique. C’est une suite d’entreprise utilisée pour gérer la paie, les RH, la finance, les achats, l’administration ou encore les dossiers étudiants. Autant dire que lorsqu’un attaquant y met les doigts, il ne repart généralement pas avec trois PDF et un logo.
Selon BleepingComputer, des clients Oracle PeopleSoft, dans le cloud comme on-premise, auraient reçu des demandes d’extorsion signées ShinyHunters.
Parallèlement, le groupe revendique le vol de données depuis 300 instances, dans plus de 100 organisations. Selon le groupe malveillant, des données « d’étudiants, de candidats, d’aides financières, d’immigration, de santé et d’administration » auraient été exfiltrées.
L’université de Nottingham a publiquement reconnu un incident de cybersécurité lié à cette campagne d’attaques. Ses données auraient déjà été publiées sur le site de fuite du groupe. C’est la seule victime nommée et confirmée à incarner cette affaire au moment de la rédaction de cet article.
ShinyHunters, la fuite comme business model
ShinyHunters n’est pas exactement un nouveau venu. Le groupe s’est fait connaître dès 2020 avec des ventes massives de bases de données volées. Son style : trouver un angle d’attaque reproductible, frapper large, puis monétiser la panique.
Son palmarès ressemble à un best-of des cauchemars DPO : Tokopedia, Wattpad, AT&T, Santander, Ticketmaster, Twilio Authy, Neiman Marcus, et plusieurs victimes liées aux attaques contre des environnements Snowflake. Le groupe n’est pas dans le chiffrement façon ransomware traditionnel. Il préfère l’exfiltration, l’extorsion, la mise en scène et la menace de publication. Une sorte de SaaS du scandale, mais sans SLA.
Dans ce nouveau dossier PeopleSoft, ShinyHunters affirme avoir utilisé une « chaîne de gadgets » mêlant anciennes vulnérabilités et failles zero-day. Le groupe reconnaît toutefois que l’attaque ne fonctionnerait pas sur toutes les configurations. Ce détail est important : il suggère moins une compromission universelle de PeopleSoft qu’une campagne opportuniste contre des instances exposées, mal configurées ou insuffisamment durcies.
Le gang affirme même avoir tenté de viser un portail FBI sous PeopleSoft pour y publier un message destiné à nier son implication dans une vague de swatting (une série de fausses alertes graves envoyées aux forces de l’ordre pour provoquer une intervention). Tentative ratée, selon ses propres dires. Même les cybercriminels connaissent des échecs, mais désormais ils en font de la « comm ».
Oracle répond, mais sans répondre
Oracle n’a pas, à ce stade, confirmé publiquement les intrusions revendiquées par ShinyHunters. La communication de l’éditeur est de toute façon rarement prolixe face aux cyberattaques.
Néanmoins, sans que l’on sache si c’est un hasard de calendrier ou si il existe un rapport direct avec ShinyHunters, Oracle a publié, le 10 juin 2026, une alerte de sécurité sur CVE-2026-35273, une faille critique touchant Oracle PeopleSoft PeopleTools. « Cette alerte de sécurité concerne la vulnérabilité CVE-2026-35273 dans Oracle PeopleSoft PeopleTools. Les clients Oracle PeopleSoft Enterprise Applications peuvent également être affectés. Cette vulnérabilité est exploitable à distance sans authentification. En cas d’exploitation réussie, elle peut permettre une exécution de code à distance » explique l’éditeur.
Oracle ajoute : « Nous considérons la mise en œuvre des mesures d’atténuation recommandées comme une mesure de réduction du risque hautement prioritaire et recommandons fortement une action immédiate. »
Pas un aveu de brèche, donc. Mais un signal clair : pour les DSI qui ont encore du PeopleSoft exposé, l’heure n’est pas à la contemplation patrimoniale. C’est patch, logs, IOC, chasse aux accès suspects. Et, si possible, avant que ShinyHunters ne transforme l’ERP en communiqué de presse.
_____________________________
puis