
Une seule faille zero-day dans Oracle PeopleSoft a permis à ShinyHunters de compromettre plus de 100 organisations, de l'Université de Nottingham à Nissan. La leçon pour les équipes de risque tiers : le risque de concentration, quand un logiciel partagé transforme une faille en de multiples incidents.
Un logiciel de paie, c'est censé être ennuyeux. À la mi-2026, l'un d'eux est devenu la porte d'entrée vers plus de 100 organisations en même temps. Des attaquants ont exploité une seule faille zero-day dans Oracle PeopleSoft, la plateforme qui gère la paie, la fiscalité et les dossiers du personnel pour des milliers de grands employeurs, et s'en sont servis pour voler des données à des victimes aussi différentes que l'Université de Nottingham, le constructeur Nissan et l'organisme américain de régulation de l'assurance (NAIC). Aucune équipe de sécurité n'a été vaincue isolément. Elles partageaient une même dépendance, et la faille se trouvait dans cette dépendance. C'est cela, le risque de concentration, et c'est pourquoi il s'agit d'une seule histoire de tiers plutôt que de cent violations distinctes.
Ce qui s'est passé
La faille, référencée CVE-2026-35273, se situe dans Oracle PeopleSoft PeopleTools, la couche applicative commune aux déploiements PeopleSoft. Mandiant (Google) a confirmé qu'elle avait été exploitée en zero-day, c'est-à-dire que les attaques ont eu lieu avant qu'un correctif n'existe, et a daté l'activité observée entre le 27 mai et le 9 juin 2026. Ce n'est qu'ensuite qu'Oracle a divulgué la vulnérabilité et publié des mesures d'urgence. Pendant cette fenêtre, le groupe d'extorsion ShinyHunters a opéré à grande échelle. Il a déclaré à BleepingComputer avoir atteint plus de 300 instances PeopleSoft dans une centaine d'organisations, en ciblant à la fois les systèmes hébergés dans le cloud et sur site, et Mandiant indique avoir notifié plus de 100 entités touchées.
La liste des victimes en aval s'allonge. Dans des notifications déposées auprès du procureur général de Californie, Oracle a indiqué à ses clients que les dossiers du personnel de centaines d'entreprises pouvaient avoir été dérobés. Nissan, qui utilise PeopleSoft pour les données de paie et fiscales de ses salariés, indique que des employés actuels et anciens aux États-Unis, au Canada, au Mexique et au Brésil sont concernés. La violation de l'Université de Nottingham touche plus de 450 000 étudiants, selon BleepingComputer. Le NAIC, qui a détecté un accès non autorisé le 11 juin 2026, affirme que les données volées étaient surtout des documents publics, des journaux obsolètes et des fichiers de configuration, et conteste les affirmations plus larges de l'attaquant. La plupart des victimes appartenaient au secteur de l'éducation, qui dépend fortement de PeopleSoft.
Pourquoi c'est important pour le risque tiers
Une fois les noms mis de côté, le schéma est simple. Des milliers d'organisations, et bon nombre de leurs fournisseurs, utilisent le même produit du même éditeur. Une vulnérabilité dans ce produit n'est pas le problème d'une seule entreprise. C'est une défaillance corrélée touchant tous ceux qui l'utilisent, déclenchée au calendrier de l'éditeur et non au vôtre.
Les registres de fournisseurs le reflètent rarement. Oracle y figure comme une simple ligne, étiquetée comme prestataire de paie ou RH. Ce que la ligne ne montre pas, c'est combien de processus critiques reposent sur PeopleSoft chez vous, combien de vos fournisseurs l'utilisent aussi, et à quelle vitesse Oracle peut livrer un correctif lorsqu'un zero-day survient. Pour les entités relevant du règlement européen DORA (Digital Operational Resilience Act) ou de la directive NIS2, cet angle mort est désormais une question de supervision autant que de sécurité, car les deux régimes demandent aux organisations de comprendre la concentration informatique et leurs dépendances de quatrième partie. Cet incident illustre précisément le risque que ces règles visent.
Ce que les équipes doivent en retenir
Trois actions à mener dès maintenant. D'abord, cartographier les plateformes partagées : repérer quels systèmes internes et quels fournisseurs dépendent des mêmes logiciels clés, en particulier ERP, RH et identité, afin d'estimer le rayon d'impact dès la parution d'un avis, et non plusieurs jours après. Ensuite, traiter la rapidité de correction des fournisseurs comme un contrôle mesuré. Savoir à l'avance comment chaque fournisseur critique divulgue et corrige un zero-day, car ce délai de réaction détermine la taille de votre fenêtre d'exposition. Enfin, répéter le scénario de la plateforme partagée lors d'un exercice sur table : un fournisseur central a une faille non corrigée et activement exploitée, et l'équipe doit décider qui est responsable, ce qui peut être isolé, et quoi dire au personnel dont les données de paie sont en jeu.
Pour les équipes de gestion des risques tiers, c'est là que la surveillance continue des fournisseurs se révèle plus utile qu'un questionnaire annuel, car ici le risque a évolué en quelques jours, pas en quelques trimestres.
FAQ
Qu'est-ce que la CVE-2026-35273 ?
C'est une vulnérabilité zero-day dans Oracle PeopleSoft PeopleTools, la couche commune aux déploiements PeopleSoft. Selon Mandiant, elle a été exploitée entre le 27 mai et le 9 juin 2026, avant qu'un correctif n'existe. Oracle a depuis divulgué la faille et publié des mesures d'urgence.
Pourquoi est-ce un incident lié aux tiers et non une violation ordinaire ?
Parce que les victimes ont été compromises via un logiciel fournisseur partagé, et non via leurs propres systèmes sur mesure. La faille d'un seul prestataire a exposé de nombreux clients en aval en même temps, ce qui caractérise le risque lié à la chaîne d'approvisionnement logicielle et à la concentration informatique.
Que doivent faire maintenant les organisations utilisant PeopleSoft ?
Appliquer les mesures et mises à jour d'Oracle pour la CVE-2026-35273, rechercher des signes d'accès non autorisé remontant à fin mai 2026, et cartographier quels processus métier et quels fournisseurs dépendent de la plateforme afin de clarifier l'impact potentiel.
Vous souhaitez appliquer cela à votre écosystème fournisseurs ? Découvrez la plateforme en action et cartographiez vos principaux risques fournisseurs en direct lors d'une présentation.

