Accueil / Le Long Format / Research
Long Format

Faille zero-day Oracle PeopleSoft (CVE-2026-35273) : comment une plateforme RH a compromis plus de 100 organisations

Une seule faille zero-day dans Oracle PeopleSoft a permis à ShinyHunters de compromettre plus de 100 organisations, de l'Université de Nottingham à Nissan. La leçon pour les équipes de risque tiers : le risque de concentration, quand un logiciel partagé transforme une faille en de multiples incidents.

Faille zero-day Oracle PeopleSoft (CVE-2026-35273) : comment une plateforme RH a compromis plus de 100 organisations
TL;DR

Une seule faille zero-day dans Oracle PeopleSoft a permis à ShinyHunters de compromettre plus de 100 organisations, de l'Université de Nottingham à Nissan. La leçon pour les équipes de risque tiers : le risque de concentration, quand un logiciel partagé transforme une faille en de multiples incidents.

Un logiciel de paie, c'est censé être ennuyeux. À la mi-2026, l'un d'eux est devenu la porte d'entrée vers plus de 100 organisations en même temps. Des attaquants ont exploité une seule faille zero-day dans Oracle PeopleSoft, la plateforme qui gère la paie, la fiscalité et les dossiers du personnel pour des milliers de grands employeurs, et s'en sont servis pour voler des données à des victimes aussi différentes que l'Université de Nottingham, le constructeur Nissan et l'organisme américain de régulation de l'assurance (NAIC). Aucune équipe de sécurité n'a été vaincue isolément. Elles partageaient une même dépendance, et la faille se trouvait dans cette dépendance. C'est cela, le risque de concentration, et c'est pourquoi il s'agit d'une seule histoire de tiers plutôt que de cent violations distinctes.

Faille zero-day Oracle PeopleSoft (CVE-2026-35273) : la situation en bref Une plateforme RH et paie partagee, une faille, plus de 100 organisations touchees, mi-2026. 1. Une fenetre zero-day silencieuse fenetre silencieuse : les attaques precedent tout correctif 27 mai 2026 Debut de l'exploitation 9 juin 2026 Fin de la fenetre ; 100+ orgs Mi-juin 2026 Oracle divulgue la CVE + mesures Fin juin 2026 Divulgations + fuites 2. Une faille, de nombreuses victimes en aval (risque de concentration) ShinyHunters groupe d'extorsion exploite Oracle PeopleSoft PeopleTools (logiciel fournisseur partage) CVE-2026-35273 (zero-day) Universite de Nottingham 450 000+ etudiants touches Nissan donnees employes, quatre pays NAIC regulateur US de l'assurance 100+ organisations 300+ instances (selon ShinyHunters) Risque de concentration : quand beaucoup d'organisations, et leurs fournisseurs, utilisent le meme produit, une faille devient l'incident de tous. Sources : Mandiant, Oracle, BleepingComputer. Schema provisoire pour Breach Wire, Supplier Shield.

Ce qui s'est passé

La faille, référencée CVE-2026-35273, se situe dans Oracle PeopleSoft PeopleTools, la couche applicative commune aux déploiements PeopleSoft. Mandiant (Google) a confirmé qu'elle avait été exploitée en zero-day, c'est-à-dire que les attaques ont eu lieu avant qu'un correctif n'existe, et a daté l'activité observée entre le 27 mai et le 9 juin 2026. Ce n'est qu'ensuite qu'Oracle a divulgué la vulnérabilité et publié des mesures d'urgence. Pendant cette fenêtre, le groupe d'extorsion ShinyHunters a opéré à grande échelle. Il a déclaré à BleepingComputer avoir atteint plus de 300 instances PeopleSoft dans une centaine d'organisations, en ciblant à la fois les systèmes hébergés dans le cloud et sur site, et Mandiant indique avoir notifié plus de 100 entités touchées.

La liste des victimes en aval s'allonge. Dans des notifications déposées auprès du procureur général de Californie, Oracle a indiqué à ses clients que les dossiers du personnel de centaines d'entreprises pouvaient avoir été dérobés. Nissan, qui utilise PeopleSoft pour les données de paie et fiscales de ses salariés, indique que des employés actuels et anciens aux États-Unis, au Canada, au Mexique et au Brésil sont concernés. La violation de l'Université de Nottingham touche plus de 450 000 étudiants, selon BleepingComputer. Le NAIC, qui a détecté un accès non autorisé le 11 juin 2026, affirme que les données volées étaient surtout des documents publics, des journaux obsolètes et des fichiers de configuration, et conteste les affirmations plus larges de l'attaquant. La plupart des victimes appartenaient au secteur de l'éducation, qui dépend fortement de PeopleSoft.

Pourquoi c'est important pour le risque tiers

Une fois les noms mis de côté, le schéma est simple. Des milliers d'organisations, et bon nombre de leurs fournisseurs, utilisent le même produit du même éditeur. Une vulnérabilité dans ce produit n'est pas le problème d'une seule entreprise. C'est une défaillance corrélée touchant tous ceux qui l'utilisent, déclenchée au calendrier de l'éditeur et non au vôtre.

Les registres de fournisseurs le reflètent rarement. Oracle y figure comme une simple ligne, étiquetée comme prestataire de paie ou RH. Ce que la ligne ne montre pas, c'est combien de processus critiques reposent sur PeopleSoft chez vous, combien de vos fournisseurs l'utilisent aussi, et à quelle vitesse Oracle peut livrer un correctif lorsqu'un zero-day survient. Pour les entités relevant du règlement européen DORA (Digital Operational Resilience Act) ou de la directive NIS2, cet angle mort est désormais une question de supervision autant que de sécurité, car les deux régimes demandent aux organisations de comprendre la concentration informatique et leurs dépendances de quatrième partie. Cet incident illustre précisément le risque que ces règles visent.

Pourquoi le registre des fournisseurs est passe a cote Une simple ligne masque une dependance partagee. C'est la que vit le risque de concentration. Ce que montre le registre 'Oracle' = une seule ligne etiquette : fournisseur RH / paie un responsable, revue annuelle Ce qui est vraiment vrai PeopleSoft sous-tend la paie, les RH et les dossiers etudiants utilise par vous, vos pairs, et vos fournisseurs Ce que fait le zero-day CVE-2026-35273 declenche une defaillance correlee sur tous en meme temps, au calendrier de l'editeur La parade Cartographier les dependances partagees Surveiller la vitesse de correction Le trou du registre, en une phrase : Vous pouvez lister un fournisseur sans savoir combien de processus critiques, les votres et ceux de vos fournisseurs, reposent sur son logiciel. DORA et NIS2 poussent les entreprises a combler cet angle mort : concentration informatique et dependance de quatrieme partie. Schema provisoire pour Breach Wire, Supplier Shield.

Ce que les équipes doivent en retenir

Trois actions à mener dès maintenant. D'abord, cartographier les plateformes partagées : repérer quels systèmes internes et quels fournisseurs dépendent des mêmes logiciels clés, en particulier ERP, RH et identité, afin d'estimer le rayon d'impact dès la parution d'un avis, et non plusieurs jours après. Ensuite, traiter la rapidité de correction des fournisseurs comme un contrôle mesuré. Savoir à l'avance comment chaque fournisseur critique divulgue et corrige un zero-day, car ce délai de réaction détermine la taille de votre fenêtre d'exposition. Enfin, répéter le scénario de la plateforme partagée lors d'un exercice sur table : un fournisseur central a une faille non corrigée et activement exploitée, et l'équipe doit décider qui est responsable, ce qui peut être isolé, et quoi dire au personnel dont les données de paie sont en jeu.

Pour les équipes de gestion des risques tiers, c'est là que la surveillance continue des fournisseurs se révèle plus utile qu'un questionnaire annuel, car ici le risque a évolué en quelques jours, pas en quelques trimestres.

FAQ

Qu'est-ce que la CVE-2026-35273 ?

C'est une vulnérabilité zero-day dans Oracle PeopleSoft PeopleTools, la couche commune aux déploiements PeopleSoft. Selon Mandiant, elle a été exploitée entre le 27 mai et le 9 juin 2026, avant qu'un correctif n'existe. Oracle a depuis divulgué la faille et publié des mesures d'urgence.

Pourquoi est-ce un incident lié aux tiers et non une violation ordinaire ?

Parce que les victimes ont été compromises via un logiciel fournisseur partagé, et non via leurs propres systèmes sur mesure. La faille d'un seul prestataire a exposé de nombreux clients en aval en même temps, ce qui caractérise le risque lié à la chaîne d'approvisionnement logicielle et à la concentration informatique.

Que doivent faire maintenant les organisations utilisant PeopleSoft ?

Appliquer les mesures et mises à jour d'Oracle pour la CVE-2026-35273, rechercher des signes d'accès non autorisé remontant à fin mai 2026, et cartographier quels processus métier et quels fournisseurs dépendent de la plateforme afin de clarifier l'impact potentiel.

Quelle est la prochaine étape ?

Vous souhaitez appliquer cela à votre écosystème fournisseurs ? Découvrez la plateforme en action et cartographiez vos principaux risques fournisseurs en direct lors d'une présentation.

Lire ensuite

Fuite e-mail KDDI : comment une plateforme de messagerie partagée a exposé jusqu'à 14,2 millions d'identifiants chez six FAI

Fuite e-mail KDDI : comment une plateforme de messagerie partagée a exposé jusqu'à 14,2 millions d'identifiants chez six FAI

Une seule plateforme de messagerie exploitée par KDDI a exposé les identifiants de jusqu'à 14,2 millions de clients chez six fournisseurs d'accès japonais. La leçon pour les équipes de risque tiers : risque de concentration et de quatrième partie, de nombreuses marques sur un même système partagé, compromis par une faille logicielle tierce.

Lire l'article
Fuite OAuth Klue : comment une application connectée a exposé les données CRM de Huntress, Jamf et d'autres clients

Fuite OAuth Klue : comment une application connectée a exposé les données CRM de Huntress, Jamf et d'autres clients

Le groupe d'extorsion Icarus a volé les jetons OAuth que Klue détenait pour ses clients et s'en est servi pour dérober des données de leurs propres comptes Salesforce et Gong. La leçon pour les équipes de risque tiers : le risque de quatrième partie, quand une application SaaS connectée transforme la violation d'un fournisseur en perte de vos données.

Lire l'article
Évaluation des fournisseurs : la check-list de diligence 2026

Évaluation des fournisseurs : la check-list de diligence 2026

Une check-list d'évaluation des fournisseurs pour 2026, hiérarchisée par niveau de risque et reliée à ce qu'exigent DORA, NIS2 et le RGPD, avec les contrôles sur les quatrièmes parties que la plupart des équipes oublient.

Lire l'article