Oracle PeopleSoft : la faille critique CVE-2026-35273 qui expose 100 organisations
Le 10 juin 2026, Oracle publiait un correctif en urgence pour une vulnérabilité zero-day dans PeopleSoft Enterprise PeopleTools, déjà massivement exploitée par le groupe ShinyHunters. La faille, référencée CVE-2026-35273 (CVSS 9.8, score confirmé par le NVD), permet une exécution de code à distance sans authentification. Au 13 juin, plus de 100 organisations (majoritairement des universités) ont confirmé une compromission. Cet article décortique la menace, retrace la chronologie de l’attaque, identifie les signaux d’exposition et présente les trois mitigations immédiates d’Oracle, complétées par les recommandations ANSSI.
Si vous opérez un SIRH, une plateforme financière étudiante ou tout autre service métier reposant sur PeopleSoft, ces lignes vous concernent. Les conseils de notre dossier cybersécurité au quotidien restent valables, mais l’ampleur de cette campagne exige une réponse structurée.
💡
L’essentiel en 30 secondes
La faille : CVE-2026-35273, score CVSS 9.8/10, permet l’exécution de code à distance sans authentification sur Oracle PeopleSoft Enterprise PeopleTools 8.61 et 8.62.
L’exploitation : Zero-day activement exploité depuis le 27 mai 2026, soit deux semaines AVANT la publication du correctif Oracle du 10 juin.
L’ampleur : Plus de 100 organisations compromises, environ 300 instances PeopleSoft touchées, dont 68% dans l’enseignement supérieur (Universities UK, US EDU).
Le groupe : ShinyHunters (alias UNC6240 chez Google/Mandiant) opère une extorsion de masse après exfiltration de données.
L’urgence : CISA a inscrit la CVE au catalogue KEV le 11 juin, fix obligatoire avant le 15 juin 2026 pour les agences fédérales américaines. En France, l’ANSSI recommande l’application immédiate.
Pourquoi PeopleSoft reste une cible critique en 2026 ?
Plus de 25 ans après sa première version, Oracle PeopleSoft équipe encore universités, administrations, hôpitaux et grandes entreprises pour la paye, les RH, la scolarité ou les finances. Cette longévité a un prix : des composants legacy restent exposés sur Internet faute de migration vers des architectures modernes, et plusieurs terminaux historiques n’avaient jamais été conçus pour l’isolation réseau.
Les chercheurs, dont l’équipe de Help Net Security, rappellent que les services PeopleSoft exposent fréquemment deux terminaux particulièrement sensibles :
/PSEMHUB/* (Enterprise Management Hub) : interface de gestion administrative exposée sur le port HTTP standard, rarement isolée derrière un VPN.
/PSIGW/HttpListeningConnector (Integration Gateway) : passerelle d’intégration inter-applicative, conçue pour dialoguer avec d’autres services métiers. Une compromission à ce niveau donne un point d’entrée stable dans le SI.
Comme nous l’avons souligné dans notre dossier sur les vulnérabilités cachées dans les composants tiers, les surfaces d’attaque négligées sont le vecteur favori des groupes d’extorsion. PeopleSoft coche toutes les cases : vieille stack, exposition publique, données à forte valeur (étudiants, salariés, patients).
Qu’est-ce que la CVE-2026-35273 exactement ?
La CVE-2026-35273 est une vulnérabilité d’injection et de désérialisation non authentifiée affectant le composant EMHub (Enterprise Management Hub) d’Oracle PeopleSoft Enterprise PeopleTools, dans les versions 8.61 et 8.62. Selon l’avis Oracle publié le 10 juin 2026 et confirmé par BleepingComputer, l’exploitation ne nécessite aucune session active ni identifiant valide.
Concrètement, l’attaquant peut :
Envoyer une requête HTTP spécifiquement forgée vers /PSEMHUB/* pour obtenir un accès au contexte d’exécution du serveur d’applications PeopleSoft.
Charger du code arbitraire dans ce contexte, avec les privilèges du compte de service PeopleSoft (souvent un compte à hauts privilèges sur la base de données Oracle sous-jacente).
Persister sur l’hôte en déployant un agent MeshCentral maquillé en service Azure (sous-domaine azurenetfiles.net observé par Mandiant), ce qui rend la détection nettement plus difficile dans les journaux d’événements.
Le score CVSS 9.8/10 reflète l’absence totale de prérequis : pas d’authentification, pas d’interaction utilisateur, complexité d’exploitation faible, impact potentiel maximal sur la confidentialité, l’intégrité et la disponibilité. Le CVSS n’est pas une note théorique : Google Threat Intelligence et Security Affairs confirment une exploitation massive et opportuniste.
Comment ShinyHunters a opéré : la chronologie détaillée
La campagne a suivi un schéma professionnel d’extorsion industrielle. Timeline reconstituée à partir de BleepingComputer, SecurityWeek, CSO Online et The Register.
27 mai 2026 : Premiers accès observés sur des instances PeopleSoft universitaires au Royaume-Uni et aux États-Unis. Les attaquants exfiltrent en silence, sans ransomware.
2 juin 2026 : Déploiement de l’agent MeshCentral persistant, masqué en service Azure (azurenetfiles.net). Une sophistication qui exclut le script kiddie opportuniste.
5 juin 2026 : Exfiltration de masse depuis l’University of Nottingham : 40 Go de données (fiches étudiants, coordonnées, dossiers financiers) vers l’IP 176.120.22.24, identifiée comme le Data Leak Site (DLS) de ShinyHunters.
9 juin 2026 : BleepingComputer reçoit les premiers échantillons de données vendues par ShinyHunters et alerte Oracle. Le groupe revendique “plus de 100 organisations” sur son canal Telegram.
10 juin 2026 : Oracle publie le correctif et les mitigations. De nombreuses organisations sont déjà compromises.
11 juin 2026 :CISA inscrit la CVE au catalogue KEV. Fix obligatoire avant le 15 juin pour les agences fédérales US. L’ANSSI publie un avis aux OIV français.
12-13 juin 2026 : Multiplication des signalements : universités européennes, hôpitaux nord-américains, mairies, secteur de l’énergie.
Le détail marquant : ShinyHunters a opéré deux semaines en silence avant la divulgation publique. Votre instance a pu être compromise sans que vos outils de monitoring ne l’aient détecté.
Qui est touché : 100 organisations, focus enseignement supérieur
Le profil des victimes est net : selon CSO Online et The Register, 68% des organisations compromises sont des établissements d’enseignement supérieur. Pourquoi ?
Une exposition publique massive : les portails étudiants, les interfaces d’inscription et les services RH universitaires sont volontairement accessibles depuis l’extérieur, souvent sans authentification forte, pour des raisons pédagogiques.
Une dette technique structurelle : les DSI universitaires opèrent avec des budgets contraints et des cycles de mise à jour longs, sur une stack PeopleSoft parfois non patchée depuis plusieurs années.
Une donnée à très forte valeur marchande : un dossier étudiant (identité, RIB, bourses, adresse parentale, dossier médical lorsqu’il s’agit de services de santé universitaires) se revend entre 80 et 200 dollars l’unité sur les marchés de l’identité frauduleuse.
Le cas de l’University of Nottingham est emblématique : 40 Go de données étudiants dérobés, notification RGPD, amendes ICO, risque de class action. La convergence fuite + extorsion déstabilise des structures sans moyens de réponse à une crise de cette ampleur.
Pour les organisations françaises, nous avons documenté un précédent similaire avec la fuite Searcher exposant un milliard de données de Français : la cadence de notification à la CNIL et la cartographie des données exposées doivent être anticipées, pas improvisées en pleine crise.
Que risque concrètement votre organisation ?
L’impact d’une compromission PeopleSoft ne se limite pas à la perte de données. Quatre dimensions :
Vol de données personnelles (RGPD) : obligation de notification à la CNIL sous 72 heures, amende jusqu’à 4% du CA mondial ou 20 millions d’euros (le plus élevé).
Extorsion et double extorsion : ShinyHunters pratique la double extorsion : rançon pour ne pas publier, puis revente des mêmes données même après paiement. Aucun paiement ne garantit la confidentialité.
Mouvement latéral dans le SI : PeopleSoft détient souvent des identifiants de service pour d’autres applications (LDAP, ERP finance, messageries). Une compromission peut servir de tête de pont vers des actifs beaucoup plus critiques.
Perturbation opérationnelle : si l’attaquant chiffre ou sabote les bases Oracle, c’est toute la paye ou toute la scolarité qui s’arrête. Pour une université en pleine période d’examens, c’est un risque existentiel.
Comme nous le rappelions dans notre article sur la protection contre le phishing et la fraude bancaire, la résilience opérationnelle commence par la cartographie des dépendances critiques et par des tests réguliers de restauration hors-ligne. Une sauvegarde PeopleSoft non testée n’est pas une sauvegarde.
Comment savoir si vous êtes vulnérable ?
Avant tout patching, vérifiez votre exposition avec cette checklist immédiate :
Inventaire des instances : identifiez toutes les instances PeopleTools 8.61 et 8.62 (et versions antérieures non patchées) accessibles depuis Internet, via Shodan, Censys ou vos outils EASM.
Exposition des endpoints : vérifiez que /PSEMHUB/* et /PSIGW/HttpListeningConnector ne sont pas joignables sans authentification ni filtrage IP.
Recherche de traces d’exploitation : analysez les logs HTTP sur au moins 30 jours à la recherche de requêtes inhabituelles vers /PSEMHUB/, de paramètres surdimensionnés, de user-agents anormaux.
Détection de l’agent MeshCentral : cherchez sur vos serveurs PeopleSoft un service Windows ou daemon Linux imitant un nom Azure (azurenetfiles, azurefilesync), un binaire signé par un certificat non-Microsoft dans C:\ProgramData ou /opt/, et des connexions sortantes vers l’IP 176.120.22.24 ou *.azurenetfiles.net.
Croisement EDR / SIEM : toute exécution de processus inhabituelle sur les serveurs PeopleSoft depuis le 27 mai 2026.
Vérification de la base Oracle : présence d’objets, d’utilisateurs ou de rôles inhabituels dans le schéma PeopleSoft, signe d’un compte de service applicatif compromis.
Si l’un de ces points revient positif, considérez votre instance comme compromise et enclenchez votre procédure de réponse à incident, en parallèle du patch.
✅ À faire systématiquement
Appliquer le patch Oracle CPU de juin 2026 sur toutes les instances PeopleTools 8.61 et 8.62 dans les 48 heures, idéalement moins.
Isoler les serveurs PeopleSoft sur un VLAN dédié, sans accès Internet sortant non strictement nécessaire.
Sauvegarder immédiatement la base de données Oracle et exporter les sauvegardes vers un support hors-ligne chiffré avant toute investigation.
Rechercher spécifiquement des indicateurs de compromission (IoC) : IP 176.120.22.24, domaine azurenetfiles.net, agent MeshCentral non légitime.
Notifier votre RSSI, votre DPO, et si vous êtes OIV ou ESR, l’ANSSI via la procédure declare-incident.ssi.gouv.fr.
❌ À éviter absolument
Patcher sans avoir au préalable collecté les preuves forensics : l’effacement du système empêchera toute attribution et toute qualification juridique de l’attaque.
Payer la rançon demandée par ShinyHunters : le groupe n’a jamais garanti la destruction des données, et plusieurs victimes l’ont constaté.
Désactiver l’antivirus ou l’EDR sur les serveurs PeopleSoft pour “éviter les faux positifs” pendant la fenêtre de patching.
Communiquer publiquement avant d’avoir cartographié l’étendue de la compromission : chaque annonce prématurée est exploitée par le groupe pour relancer la pression.
Reporter la notification CNIL en pensant gagner du temps : le délai légal de 72 heures court dès la connaissance de l’incident, pas dès sa confirmation complète.
Que faire en urgence : les 3 mitigations Oracle
Oracle a publié trois mesures de contournement applicables immédiatement en attendant le correctif officiel, détaillées dans l’avis CPUJUL2026 et reprises par BleepingComputer.
1. Désactiver EMHub (Enterprise Management Hub) : si vous n’utilisez pas le composant exposé via /PSEMHUB/*, désactivez-le purement et simplement. Mesure la plus efficace et la plus rapide : le fichier de configuration PSEMHUB se neutralise en quelques minutes.
2. Retirer PSEMHUB du frontal HTTP : si vous avez besoin d’EMHub, faites-le transiter par un canal dédié (VPN d’administration, jump host bastion) et retirez sa déclaration du reverse-proxy ou du frontal HTTP.
3. Bloquer les endpoints au firewall : appliquez une règle de filtrage en entrée comme en sortie : blocage de /PSEMHUB/* et /PSIGW/HttpListeningConnector depuis l’extérieur, et blocage des connexions sortantes non légitimes depuis le serveur PeopleSoft. Un serveur applicatif de production n’a pas besoin d’accéder à azurenetfiles.net ou d’autres destinations non maîtrisées.
Ces trois mesures sont complémentaires : la désactivation d’EMHub traite la racine, le blocage firewall traite la profondeur, le retrait du frontal HTTP traite l’exposition. Appliquez les trois.
⚠️ Point de vigilance critique
Si vous découvrez la présence d’un agent MeshCentral, de tâches计划ifiées suspectes, de l’IP 176.120.22.24 dans vos logs de flux, ou de tout autre IoC documenté par Mandiant, votre instance est considérée comme compromise. N’appliquez pas le correctif Oracle comme première action :isolez le serveur, préservez les preuves, puis patchez. Patcher une machine déjà compromise sans avoir mené l’investigation forensics supprime les indices nécessaires à la qualification juridique de l’attaque et à la notification CNIL.
Contexte France : ce que dit l’ANSSI
L’ANSSI n’a pas, à la date du 13 juin 2026, émis d’alerte formelle de niveau “critique” comparable au KEV américain, mais plusieurs signaux convergent. L’agence a publié un avis aux opérateurs d’importance vitale (OIV) et opérateurs de services essentiels (OSE) demandant la vérification des instances PeopleSoft et l’application du correctif Oracle. Les établissements d’enseignement supérieur et de recherche (ESR) ont été notifiés via les CERT sectoriels.
Pour les organisations françaises, trois obligations s’ajoutent au patch :
Déclaration d’incident à la CNIL sous 72 heures si des données personnelles sont concernées, via notifications.cnil.fr.
Déclaration ANSSI via declare-incident.ssi.gouv.fr si vous êtes OIV, OSE, ou si l’incident impacte la sécurité nationale.
Information des personnes concernées sans délai si la violation présente un risque élevé pour leurs droits et libertés.
La pression réglementaire post-incident est un facteur aggravant en France : les organisations qui tardent à notifier ou minimisent la compromission s’exposent à des sanctions pécuniaires supplémentaires et à une perte de confiance durable.
Questions fréquentes sur la CVE-2026-35273 Oracle PeopleSoft (FAQ)
La CVE-2026-35273 est-elle vraiment exploitée à grande échelle ? ▼
Oui. Google Threat Intelligence, Mandiant et plusieurs CERT nationaux ont confirmé une exploitation active depuis le 27 mai 2026, soit deux semaines avant la publication du correctif Oracle. ShinyHunters revendique publiquement plus de 100 organisations compromises. Ce n’est pas une vulnérabilité théorique.
Mon instance PeopleSoft est-elle concernée si elle est en version 8.60 ou antérieure ? ▼
L’avis Oracle cible explicitement PeopleTools 8.61 et 8.62, mais les versions antérieures non supportées (8.59 et moins) présentent une surface d’attaque au moins équivalente, voire supérieure. Si vous opérez une version non supportée, vous êtes doublement exposé : à la CVE et à l’absence de patch. Planifiez une migration ou un changement de solution sans attendre.
Désactiver EMHub est-il risqué pour mon activité métier ? ▼
EMHub est un composant d’administration, pas un composant transactionnel. Si vous ne l’utilisez pas au quotidien pour administrer votre instance, sa désactivation est indolore. Si vous l’utilisez, isolez-le derrière un VPN d’administration plutôt que de le laisser exposé sur Internet. Dans tous les cas, la désactivation temporaire pendant l’application du patch est une bonne pratique.
Que faire si je trouve un agent MeshCentral sur mon serveur PeopleSoft ? ▼
C’est un indicateur fort de compromission. Ne supprimez pas l’agent immédiatement. Isolez le serveur du réseau, capturez une image mémoire et disque pour analyse forensics, et notifiez votre RSSI ou un prestataire incident de réponse (incident response retainer). La présence de cet agent implique presque toujours qu’un accès administrateur distant persistant est en place.
Dois-je payer la rançon si ShinyHunters me contacte ? ▼
La position de l’ANSSI, de la Commission européenne et de la majorité des CERT nationaux est claire : le paiement de la rançon n’est jamais recommandé. Il finance l’écosystème criminel, ne garantit pas la suppression des données (les groupes revendent souvent les données même après paiement), et peut exposer votre organisation à des sanctions pour financement d’activité criminelle. Préférez la notification, l’accompagnement juridique et la communication de crise structurée.
Quel est le délai réaliste pour patcher 100% de mes instances ? ▼
Pour une instance unique, le patch Oracle peut être appliqué en moins d’une heure hors fenêtre de maintenance. Pour un parc de 10 à 50 instances hétérogènes, tablez sur 48 à 72 heures incluant les tests de non-régression. Les universités françaises multi-établissements devraient viser un objectif de patch complet avant le 20 juin 2026, soit dans la semaine qui suit la divulgation. Au-delà, le risque d’exploitation opportuniste devient trop élevé.
Alexi Tauzin 🛡️ Éditeur & Expert Cyber
Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
