Discussion :

[Alex]

Google a confirmé faire partie des victimes d'une campagne de vol de données visant les instances Salesforce, avec des tactiques d'extorsion exigeant un paiement en bitcoins.

Google a confirmé faire partie des victimes d'une campagne de vol de données visant les instances Salesforce. Le géant technologique a confirmé que des données avaient été récupérées par l'auteur de la menace, mais il s'agissait principalement d'informations commerciales accessibles au public, telles que des noms d'entreprises et des coordonnées. Cette cyberattaque a été associée à ShinyHunters, suivi par le Google Threat Intelligence Group (GTIG) sous les noms UNC6040 et UN6240.

Salesforce est une société américaine de logiciels basés sur le cloud dont le siège social est situé à San Francisco, en Californie. Elle fournit des applications axées sur les ventes, le service client, l'automatisation du marketing, le commerce électronique, l'analyse de données, l'intelligence artificielle et le développement d'applications. Elle est devenue la plus grande entreprise d'applications d'entreprise au monde en 2022.

Récemment, Google a confirmé faire partie des victimes d'une campagne de vol de données visant les instances Salesforce. Le géant technologique a confirmé que des données avaient été récupérées par l'auteur de la menace, mais il s'agissait principalement d'informations commerciales accessibles au public, telles que des noms d'entreprises et des coordonnées. Cette cyberattaque a été associée à ShinyHunters, suivi par le Google Threat Intelligence Group (GTIG) sous les noms UNC6040 et UN6240.

Dans une mise à jour publiée le 5 août, Google a déclaré : « Google a réagi à cette activité, a effectué une analyse d'impact et a commencé à mettre en place des mesures d'atténuation. L'instance était utilisée pour stocker les coordonnées et les notes associées des petites et moyennes entreprises. » ShinyHunters est un groupe de cybercriminels motivés par l'appât du gain, spécialisé dans les campagnes de phishing vocal (vishing) conçues spécifiquement pour compromettre les instances Salesforce des organisations afin de voler des données à grande échelle et de procéder à des extorsions. Les campagnes de vishing visent à piéger les victimes afin qu'elles divulguent leurs identifiants de connexion et leurs codes MFA.

GTIG a averti que les acteurs malveillants utilisant la marque ShinyHunters pourraient se préparer à intensifier leurs tactiques d'extorsion en lançant un site de fuite de données. Pour l'instant, leurs tactiques d'extorsion consistent à passer des appels ou à envoyer des e-mails aux employés de l'organisation victime pour exiger un paiement en bitcoins dans les 72 heures. Un nouveau site de fuite de données augmentera la pression sur les victimes, y compris celles touchées par les récentes violations de données liées à Salesforce.

William Wright, PDG de Closed Door Security, a déclaré : « ShinyHunters a récemment mené un grand nombre d'attaques via Salesforce et il est essentiel que les organisations en prennent note. Les auteurs de ces menaces ont également affirmé que de nombreuses attaques n'ont toujours pas été signalées, nous pouvons donc nous attendre à ce que d'autres victimes soient annoncées dans les semaines à venir. »

Chanel et Pandora ont révélé des violations de données clients liées à l'activité de ShinyHunters début août 2025. Parmi les autres entreprises soupçonnées d'avoir été victimes de ShinyHunters de la même manière, on peut citer Allianz Life, Adidas, Qantas et plusieurs marques du groupe LVMH.

Voici les recommandations de Google :

Préparation, mesures d'atténuation et renforcement

Cette campagne souligne l'importance d'un modèle de responsabilité partagée pour la sécurité du cloud. Si des plateformes telles que Salesforce offrent des contrôles de sécurité robustes et adaptés aux entreprises, il est essentiel que les clients configurent et gèrent les accès, les autorisations et la formation des utilisateurs conformément aux meilleures pratiques.

Pour se défendre contre les menaces d'ingénierie sociale, en particulier celles qui exploitent des outils tels que Data Loader pour l'exfiltration de données, les organisations doivent mettre en œuvre une stratégie de défense en profondeur. GTIG recommande les mesures d'atténuation et de renforcement suivantes :

• Respectez le principe du moindre privilège, en particulier pour les outils d'accès aux données : n'accordez aux utilisateurs que les autorisations essentielles à leurs rôles, ni plus, ni moins. En particulier pour les outils tels que Data Loader, qui nécessitent souvent l'autorisation « API activée » pour fonctionner pleinement, limitez strictement son attribution. Cette autorisation permet de larges capacités d'exportation de données ; par conséquent, son attribution doit être soigneusement contrôlée. Conformément aux recommandations de Salesforce, examinez et configurez l'accès à Data Loader afin de limiter le nombre d'utilisateurs pouvant effectuer des opérations sur des données en masse, et vérifiez régulièrement les profils et les ensembles d'autorisations afin de garantir des niveaux d'accès appropriés.
  
  
• Gérez rigoureusement l'accès aux applications connectées : contrôlez la manière dont les applications externes, y compris Data Loader, interagissent avec votre environnement Salesforce. Gérez avec diligence l'accès à vos applications connectées, en spécifiant quels utilisateurs, profils ou ensembles d'autorisations peuvent les utiliser et à partir de quel endroit. Il est essentiel de limiter les autorisations puissantes telles que « Personnaliser l'application » et « Gérer les applications connectées », qui permettent aux utilisateurs d'autoriser ou d'installer de nouvelles applications connectées, au personnel administratif essentiel et de confiance uniquement. Envisagez de mettre en place un processus de vérification et d'approbation des applications connectées, en ajoutant éventuellement à la liste blanche les applications connues pour être sûres afin d'empêcher l'introduction non autorisée d'applications malveillantes, telles que des instances modifiées de Data Loader.
  
  
• Appliquez des restrictions d'accès basées sur l'adresse IP : pour contrer les tentatives d'accès non autorisées, y compris celles provenant d'acteurs malveillants utilisant des VPN commerciaux, mettez en place des restrictions d'adresse IP. Définissez des plages de connexion et des adresses IP fiables, limitant ainsi l'accès à vos réseaux d'entreprise et VPN définis. Définissez des plages d'adresses IP autorisées pour les profils utilisateur et, le cas échéant, pour les politiques d'applications connectées afin de garantir que les connexions et les autorisations d'applications provenant d'adresses IP inattendues ou non fiables soient refusées ou correctement contestées.
  
  
• Tirez parti de la surveillance avancée de la sécurité et de l'application des politiques avec Salesforce Shield : pour améliorer les capacités d'alerte, de visibilité et de réponse automatisée, utilisez les outils de Salesforce Shield. Les politiques de sécurité des transactions vous permettent de surveiller des activités telles que les téléchargements de données volumineux (un signe courant d'utilisation abusive de Data Loader) et de déclencher automatiquement des alertes ou de bloquer ces actions. Complétez cela avec la « surveillance des événements » pour obtenir une visibilité approfondie sur le comportement des utilisateurs, les modèles d'accès aux données (par exemple, qui a consulté quelles données et quand), l'utilisation des API et d'autres activités critiques, ce qui vous aidera à détecter les anomalies indiquant une compromission. Ces journaux peuvent également être intégrés à vos outils de sécurité internes pour une analyse plus approfondie.
  
  
• Appliquez l'authentification multifactorielle (MFA) de manière universelle : bien que les tactiques d'ingénierie sociale décrites puissent consister à inciter les utilisateurs à répondre à une invite MFA (par exemple, pour autoriser une application connectée malveillante), la MFA reste un contrôle de sécurité fondamental. Salesforce affirme que « la MFA est un outil essentiel et efficace pour renforcer la protection contre les accès non autorisés aux comptes » et l'exige pour les connexions directes. Assurez-vous que l'authentification multifactorielle est mise en œuvre de manière rigoureuse dans toute votre organisation et que les utilisateurs sont informés des tactiques de lassitude liées à l'authentification multifactorielle et des tentatives d'ingénierie sociale visant à contourner cette protection essentielle.

En mettant en œuvre ces mesures, les organisations peuvent renforcer considérablement leur posture de sécurité contre les types de vishing et la campagne d'exfiltration de données UNC6040 détaillés dans ce rapport. Consultez régulièrement la documentation de Salesforce sur la sécurité, y compris le guide de sécurité Salesforce, pour obtenir des conseils supplémentaires détaillés.

Source : Google

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Le mobile devient la voie privilégiée pour les attaques contre les entreprises. Les smartphones, les ordinateurs portables et les tablettes accédant aux données et aux systèmes sensibles

Twilio, la société de communication sur le cloud, confirme avoir été victime d'une violation de données après la fuite de 33 millions de numéros de téléphone d'utilisateurs Authy, son outil MFA

Les gouvernements ont plus que jamais recours à des piratages de type "zero-day". Les menaces "zero-day" ont tendance à augmenter, même si le nombre total de détections a baissé en 2024

[Anthony]

Des hackers ont menacé de divulguer les bases de données de Google si l'entreprise ne licenciait pas deux de ses employés, tout en suspendant les enquêtes du Google Threat Intelligence Group sur le collectif

Un groupe se présentant comme un collectif de pirates informatiques se faisant appeler « Scattered LapSus Hunters » aurait lancé un ultimatum à Google, menaçant de divulguer les bases de données de l'entreprise si deux de ses employés n'étaient pas licenciés. L'ultimatum, cité par Newsweek, exigeait également que Google mette fin à ses enquêtes sur le groupe de hackers, bien qu'aucune preuve de violation n'ait encore été fournie.

Cette menace fait suite à un autre incident révélé par Google en août 2025. La société a en effet confirmé faire partie des victimes d'une campagne de vol de données ciblant les instances Salesforce. La cyberattaque, qui a été associée au groupe ShinyHunters, l'un des membres de la nouvelle coalition, est suivie par le Google Threat Intelligence Group (GTIG) sous les noms UNC6040 et UN6240. Toutefois, Salesforce est un fournisseur tiers qui fournit divers services à Google, et la violation s'est produite au sein des systèmes du fournisseur, et non dans l'infrastructure de Google.

La récente demande du groupe « Scattered LapSus Hunters » a été publiée dans un message Telegram et visait spécifiquement deux employés de Google, tous deux membres du GTIG. Selon un message consulté par Newsweek, le collectif de hackers autoproclamé a également insisté pour que Google suspende toutes les enquêtes menées par son groupe Threat Intelligence sur les activités du réseau.

Le nom du groupe fait clairement référence à sa composition, qui, semble-t-il, comprend des membres issus de communautés de hackers bien établies telles que Scattered Spider, LapSus et ShinyHunters.

À l'heure actuelle, le groupe n'a fourni aucune preuve pour étayer ses affirmations selon lesquelles il aurait accédé aux bases de données de Google. De plus, aucune violation récente des systèmes d'information internes de Google n'a été confirmée.

La formation d'un supergroupe tel que « Scattered LapSus Hunters » représenterait une escalade significative dans le paysage des cybermenaces. Scattered Spider est connu pour ses tactiques sophistiquées d'ingénierie sociale, tandis que LapSus s'est fait connaître pour ses attaques agressives et très médiatisées contre de grandes entreprises technologiques.

ShinyHunters, pour sa part, a une longue histoire de violations de données à grande échelle et de vente d'informations volées sur le dark web. La collaboration potentielle de ces entités pourrait représenter un défi redoutable, même pour les entreprises les mieux protégées.

La situation est actuellement sous surveillance, la communauté technologique attendant de voir la suite des événements.

La menace qui pèse sur Google reflète toutefois une tendance plus générale à l'escalade des cyberrisques. En août 2025, le FBI a révélé l'existence de l'opération Salt Typhoon, une campagne chinoise de piratage visant les opérateurs de télécommunications dans 80 pays, qui a exposé les enregistrements d'appels, les communications privées et les données de localisation. Selon les responsables fédéraux, cette intrusion marque l'une des escalades les plus importantes des cyberopérations chinoises.

Source : Newsweek

Et vous ?

Quelle lecture faites-vous de cette situation ?
Pensez-vous que cette menace du groupe « Scattered LapSus Hunters » est crédible ou sérieuse ?

Voir aussi :

Le piratage de Ticketmaster touche un demi-milliard de personnes. Il expose 400 millions de cartes de crédit chiffrées, 440 millions d'adresses e-mail uniques et 680 millions de détails de commandes

Twilio, la société de communication sur le cloud, confirme avoir été victime d'une violation de données après la fuite de 33 millions de numéros de téléphone d'utilisateurs Authy, son outil MFA

Deux casinos, deux réponses aux rançongiciels chez Caesars et MGM : l'un a payé, l'autre non, payer ou ne pas payer, telle est la question

Les hackers de Lapsus$ divulguent 37 Go du code source présumé de Microsoft notamment de Cortana, Bing et Bing Maps. Le groupe a également piraté et divulgué des données de LG Electronics

[Anthony]

Salesforce ne paiera pas la rançon exigée par les cybercriminels qui affirment avoir volé près d'un milliard de données clients et menacent de les divulguer si le géant du CRM ne leur verse pas d'argent

Salesforce a adressé un avertissement ferme aux pirates informatiques qui affirment avoir volé près d'un milliard d'enregistrements de données clients : l'entreprise ne paiera aucune rançon. Cette violation, qui a ciblé l'application tierce Drift plutôt que la plateforme Salesforce elle-même, a exposé les coordonnées des clients, les données relatives à l'assistance informatique et les jetons d'autorisation. L'entreprise déclare avoir désactivé les connexions à l'application concernée et apporte son soutien aux clients impactés.

Cette attaque s'inscrit dans une série plus large de cyberintrusions qui ont ciblé le géant du CRM. En août dernier, Google a reconnu faire partie des victimes d'une campagne de vol de données visant les instances Salesforce, attribuée au groupe ShinyHunters. Selon le Google Threat Intelligence Group (GTIG), les données compromises concernaient essentiellement des informations commerciales publiques provenant principalement de petites et moyennes entreprises.

Salesforce a informé ses clients qu'il ne paierait pas les pirates informatiques qui exigent une rançon après avoir déclaré avoir volé de grandes quantités d'informations sur les clients. Le géant des logiciels cloud a envoyé le mardi 7 octobre 2025 une alerte de sécurité informant ses clients qu'un groupe de pirates informatiques appelé ShinyHunters prévoyait de publier des données volées plus tôt cette année.

Un porte-parole de Salesforce a clairement exprimé la position de l'entreprise : celle-ci ne cédera pas aux demandes des pirates, ne négociera pas avec eux et ne paiera aucune rançon. Salesforce a également déclaré avoir reçu des « informations crédibles » sur les intentions du groupe de pirates et rester en contact avec les clients concernés afin de leur apporter son soutien.

Comment le piratage et le vol de données se sont-ils produits ?

L'incident de sécurité n'a pas directement touché la plateforme principale de Salesforce. Les pirates ont plutôt ciblé une application tierce appelée Drift, développée par SalesLoft Inc., qui se connecte à Salesforce pour automatiser les tâches du service client. Grâce à cette application, les pirates ont réussi à voler des données à plusieurs organisations utilisant Salesforce au début de l'année.

Selon l'e-mail de Salesforce, les pirates informatiques semblent avoir regroupé les enregistrements volés à partir de l'application Drift dans un seul et même ensemble de données, qui a été mis en vente sur un forum dédié à la cybercriminalité la semaine dernière. La violation, qui a été révélée pour la première fois en septembre, a principalement exposé :

• Les coordonnées des clients
• Les données de base relatives à l'assistance informatique
• Les jetons d'accès d'autorisation des utilisateurs
• Dans certains cas, des informations détaillées sur la configuration des systèmes informatiques des clients

Le mois de septembre 2025, Salesforce a désactivé toutes les connexions entre sa plateforme et les technologies SalesLoft, y compris l'application Drift. La semaine de début octobre, les données volées ont été mises en vente sur un forum dédié à la cybercriminalité.

Cette affaire intervient alors que Salesforce traverse une période de transformation interne. Le PDG Marc Benioff a récemment annoncé que l'entreprise n'embauchera plus d'ingénieurs pour 2025 après avoir investi dans des outils de codage IA qui ont permis d'augmenter la productivité de 30 %. « Mon message aux PDG est que nous sommes la dernière génération à ne gérer que des humains », a déclaré Benioff lors de la conférence téléphonique sur les résultats de Salesforce, indiquant que les entreprises du futur disposeront d'une main-d'œuvre hybride, humaine et numérique.

Source : Google Threat Intelligence Group

Et vous ?

Quelle lecture faites-vous de cette situation ?
Trouvez-vous la position de Salesforce cohérente et pertinente ?

Voir aussi :

Salesforce n'envisage pas d'embaucher d'ingénieurs logiciels en 2025 en raison des « gains de productivité importants apportés par son IA », l'entreprise recherche plutôt des personnes pour vendre son IA

L'entreprise de logiciels basée sur le cloud Salesforce supprimerait plus de 1 000 emplois tout en recrutant des travailleurs pour vendre de nouveaux produits d'intelligence artificielle (IA)

Dreamforce : la nouvelle stratégie de Salesforce en matière d'IA reconnaît que l'IA va supprimer des emplois, l'entreprise propose des « agents » IA capables de gérer des tâches sans supervision humaine