Elnur - stock.adobe.com

Actualites

Cyberattaques : la campagne ciblant les clients de Salesforce s’intensifie

Google, Air France-KLM, Allianz for Life, Cisco, Pandora et d’autres auraient tous subi des cyberattaques orchestrées par un collectif exploitant des techniques d’ingénierie sociale pour s’infiltrer dans leurs environnements Salesforce.

Gaétan Raoul
par
Publié le: 13 août 2025

Air France-KLM, Bouygues Telecom, Google. Ces entreprises ont le point commun d’avoir alerté la semaine dernière d’accès non autorisé dans un de leurs systèmes tiers.

Selon Air France-KLM, l’exfiltration menée depuis une « plateforme externe » qu’elle utilise pour son service client n’a pas permis aux acteurs malveillants d’obtenir de données sensibles (numéros de carte de crédit, numéros de passeport, mot de passe, informations de réservation). Ils ont tout de même pu télécharger les noms, prénoms, coordonnées, numéros et statut du programme Flying Blue des personnes concernées.

Bouygues Telecom rapporte que les attaquants ont eu accès aux données personnelles de 6,4 millions de comptes clients, dont « les coordonnées, les données contractuelles, les données d’état civil ou celles de l’entreprise si vous êtes un professionnel, ainsi que les IBAN ».

« Les numéros de cartes bancaires et les mots de passe de vos comptes Bouygues Telecom ne sont pas impactés », ajoute l’opérateur.

Les deux entreprises assurent que les clients concernés ont été contactés, la CNIL notifiée et qu’elles ont porté plainte auprès des autorités judiciaires en plus d’avoir pris les mesures techniques pour endiguer l’attaque.

De son côté, Google indique que 2,55 millions d’enregistrements liés à des clients potentiels de Google Ads ont été exfiltrés. Ce sont des « informations de contacts professionnels de base et des notes associées ». Le géant du Web rapporte avoir reçu une demande de rançon de 2,3 millions de dollars en bitcoins. Toutes les personnes concernées ont été prévenues par Google.

Le groupe derrière ces méfaits et sa technique de prédilection ne seraient pas inconnus. C’est le collectif ShinyHunters et son « allié » Scattered Spider qui seraient à la manœuvre au moins dans deux des trois cas, soupçonne BleepingComputer. Le média rapporte également que les attaquants ont également exposé les 2,8 millions d’enregistrements attribués à Allianz Life. L’assureur américain avait signalé en juillet une attaque affectant la « majorité » de ses 1,4 million de clients dont les données personnelles et confidentielles étaient sauvegardées dans un « CRM basé sur le cloud ».

ShinyHunters s’en serait par ailleurs pris à Cisco, Qantas, Pandora et certaines maisons de LVMH à travers le même système et la même approche.

Les membres du collectif ont affirmé à nos confrères qu’il fallait nommer cette combinaison Sp1d3rHunters. Les cyberattaquants ayant contacté TicketMaster en juillet 2024 avaient utilisé ce nom.

Des franchises sous surveillance

ShinyHunters s’est fait connaître pour les fuites de données orchestrées dans les systèmes de Santander, TicketMaster, Boulanger, SFR ou encore France Travail. Quatre de ses membres résidants en France ont été interpellés le 25 juin dernier par la brigade de lutte contre la cybersécurité de la préfecture de police de Paris (BL2C). L’un d’entre eux est l’administrateur de BreachForums, une « marketplace » d’échange de données volées. Le retour de cette vitrine sur le Dark Web susciterait la suspicion chez les cyberattaquants, dont Shiny, le leader de la franchise ShinyHunters qui affirme sur Telegram que BreachForums est désormais administré par les forces de l’ordre françaises et américaines.

Pour préserver le secret de l’enquête en cours, Air France-KLM et Bouygues Telecom n’ont pas confirmé avoir été contactées par les affidés de ShinyHunters, Scattered Spider ou Sp1d3rHunters. Dans un même temps, les attaquants ont révélé une capture d’écran d’un CRM Salesforce portant le logo de la compagnie aérienne. Les deux entreprises ciblées sont clientes de Salesforce.

Du phishing vocal et une version modifiée de Data Loader

« La divulgation d’Air France-KLM s’ajoute à une liste croissante d’organisations touchées par une campagne d’hameçonnage vocal (vishing) très ciblée exploitant les environnements Salesforce », écrit Lidia Lopez, analyste senior en renseignement sur les menaces chez l’éditeur Outpost24.

C’est justement ce qu’a expliqué avoir subi Google. Dans son cas, les attaquants ont exploité Data Loader, un outil pour importer, exporter et mettre à jour des enregistrements Salesforce. Ils ont usé de techniques d’ingénierie sociale pour piéger les métiers par mail ou par téléphone afin qu’ils se connectent à un service Data Loader géré par un compte que les acteurs malveillants contrôlaient ou à une version modifiée de Data Loader.

Salesforce réclame généralement de confirmer la connexion à l’aide d’un code à huit chiffres. Une fois le lien établi, l’exfiltration est automatisée à travers des IP TOR. La demande de rançon suit quelques jours après.

Google a réussi à restreindre l’accès frauduleux à une « courte fenêtre temporelle ». Une procédure documentée publiquement en juin par le groupe Threat Intelligence de Google (GITG). Le groupe décrivait l’attaque révélée le 5 août dernier.

Le GITG avait reconnu et prévenu de l’escalade en cours de la franchise de ransomware. Il a aussi remarqué qu’après avoir utilisé des comptes d’essai Salesforce, les cyberattaquants affiliés utilisent désormais des comptes compromis pour initier la connexion malveillante. Ces acteurs seraient passés de l’usage de Data Loader depuis ces comptes compromis à l’introduction des versions modifiées de Data Loader. Elles contiendraient une charge active sous la forme d’un script Python.

Salesforce se défend de toute compromission et alerte ses clients depuis mars

« La plateforme Salesforce n’a pas été compromise, et ce problème n’est pas dû à une vulnérabilité connue de notre technologie », affirme le géant du CRM auprès du MagIT. « Nous sommes conscients du caractère perturbateur et stressant de ces incidents, et nos équipes sont pleinement mobilisées pour aider les clients concernés et minimiser tout impact ».

De bonnes pratiques partagées par Salesforce visant à enrayer cette campagne ont été documentées dès le 12 mars dernier à travers un billet de blog.

Salesforce avait déjà identifié que la campagne de vishing servait à voler des identifiants de comptes ou à inciter les utilisateurs à se connecter à une « application connectée malveillante », plus particulièrement une variante de Data Loader. Il salue par ailleurs le travail de recherche de Google/Mandiant qui a « contribué à éclairer nos défenses collectives ».

Auprès du MagIT, le géant du CRM assure qu’il contacte de « manière proactive » ses clients depuis plusieurs mois. « En plus de notre article publié le 12 mars sur notre blog, nos responsables des comptes ont contacté directement nos clients et nous avons diffusé des communications ciblées afin de nous assurer qu’ils étaient informés de l’augmentation des menaces d’ingénierie sociale et qu’ils disposaient de mesures concrètes pour renforcer leur sécurité », déclare un porte-parole dans un mail envoyé à la rédaction. L’éditeur invite d’ailleurs ses grands clients à nommer un contact responsable de la sécurité en cas d’un événement de ce genre.

Les recommandations de Salesforce

En sus de former les métiers, Salesforce recommande de définir des plages de connexion pour des adresses IP approuvées au réseau de l’entreprise et à son VPN. Il conseille de suivre l’approche du moindre privilège afin que les usagers n’aient accès qu’à ce dont ils ont besoin. Concernant Data Loader, Salesforce fournit de la documentation pour limiter le nombre d’utilisateurs pouvant importer ou modifier des données en masse. Il est aussi possible de restreindre les accès API aux applications connectées, comme celles utilisées par les acteurs malveillants.

À partir de 2021, Salesforce a commencé à forcer l’application de l’authentification multifacteur directe ou par SSO y compris pour les solutions partenaires. L’éditeur prévoyait d’appliquer techniquement la mesure, mais à la demande de ses clients qui réclamaient du temps pour s’équiper et pour former leurs équipes, il l’a seulement imposée de manière contractuelle. En cas de non-application du MFA, Salesforce considère que les clients concernés ne respectent pas les obligations du contrat de services principales. Aux clients d’assumer « tous les risques liés à la non-utilisation de l’authentification multifactorielle lorsqu’ils accèdent aux produits Salesforce », précise la documentation envoyée par l’éditeur au MagIT.

Salesforce propose d’utiliser sa solution Salesforce Shield qui offre des fonctions de supervision d’événements, des règles de gestion sur les transactions (notamment quand beaucoup d’enregistrements sont téléchargés simultanément) de détection de menaces, de classification, de chiffrement et de backup. Il faudra payer 10 % à 30 % du coût total des licences pour en bénéficier.

Les attaques ciblant Santander et TicketMaster n’ont pas non plus compromis la plateforme de Snowflake, mais l’ont obligé à renforcer certaines mesures de sécurité.

Pour approfondir sur Menaces, Ransomwares, DDoS