Cybersécurité : un milliard de données clients dérobées via Salesforce ?
L'année 2025 continue de secouer le monde du numérique. Une alliance inédite de hackers — Lapsus$, ShinyHunters et Scattered Spider — revendique le vol de près d'un milliard de données clients issues de bases hébergées par Salesforce. Google, Kering, Toyota, Allianz figurent parmi les victimes présumées. Une fuite d'ampleur inédite qui expose de nombreuses multinationales et relance le débat sur la sécurité des environnements cloud.
La coalition de pirates derrière l'attaque
Les premières informations proviennent d'un nouveau site apparu sur le dark web début octobre 2025, baptisé Scattered LAPSUS$ Hunters. Ce portail serait utilisé par une alliance de trois groupes cybercriminels tristement célèbres, chacun apportant ses compétences spécifiques à cette opération d'envergure.
Le spécialiste des fuites massives
Le marchand du darknet
Le maître de la manipulation
Cette coalition affirme avoir réussi à exfiltrer près d'un milliard d'enregistrements appartenant à des clients d'entreprises utilisant Salesforce comme infrastructure de gestion commerciale. Les pirates ont également mis en ligne une liste de sociétés touchées, invitant les victimes à « négocier » pour éviter la divulgation publique de leurs données.
Double extorsion : La stratégie des hackers s'appuie sur un modèle désormais classique : voler les données, puis menacer de les publier si l'entreprise refuse de payer. Le site affiche un compte à rebours avant divulgation des fichiers — une mécanique déjà utilisée par les groupes de ransomware.
Les entreprises touchées
Parmi les victimes citées par les cybercriminels figurent plusieurs géants internationaux de secteurs variés. Si ces affirmations se vérifiaient, il s'agirait de l'une des plus grandes fuites de données de l'histoire du cloud.
D'autres entreprises comme Hulu et Toyota sont également mentionnées sur le site des hackers, même si aucune n'a confirmé pour l'instant une compromission effective. Les informations compromises incluraient des noms, adresses e-mail, numéros de téléphone, données de facturation et, dans certains cas, des numéros de sécurité sociale pour les utilisateurs américains.
Vishing et ingénierie sociale : la méthode des hackers
D'après les premiers éléments d'enquête partagés par le FBI et ZDNet, les pirates auraient utilisé des méthodes d'ingénierie sociale plutôt qu'une intrusion technique. Le scénario privilégié : du vishing, c'est-à-dire du hameçonnage vocal, permettant de convaincre des employés de fournir leurs identifiants Salesforce.
🎭 Comment fonctionne le vishing
Appel téléphonique frauduleux
Le hacker se fait passer pour un collègue IT, un support technique ou un supérieur hiérarchique
Ciblage précis des employés
Recherche préalable sur LinkedIn, réseaux sociaux pour personnaliser l'approche
Création d'urgence
Scénario de crise (audit imminent, problème de sécurité) pour obtenir une action rapide
Récupération des identifiants
L'employé manipulé fournit login, mot de passe ou valide un code MFA
L'IA au service des attaquants
Les groupes comme ShinyHunters et Lapsus$ se sont adaptés aux défenses modernes. Ils utilisent aujourd'hui l'intelligence artificielle générative pour rédiger des messages de phishing hyperréalistes, imiter les voix d'employés pour le vishing, et automatiser la recherche de failles dans les interfaces API.
Usages par les cybercriminels
Impact de l'IA sur les cyberattaques
Centre européen de cybersécurité : Un rapport estime que 64% des cyberattaques observées en 2025 comportaient au moins un élément automatisé par l'IA. Cette combinaison rend les attaques plus rapides, plus discrètes et plus crédibles.
La réponse de Salesforce
Face à l'ampleur médiatique, Salesforce a rapidement réagi. Dans un communiqué publié sur son site, l'entreprise dément toute faille dans ses systèmes. Elle assure qu'aucune vulnérabilité connue n'a été exploitée et que les attaques ne proviennent pas de sa plateforme directement.
Communiqué Salesforce : « Aucune preuve ne montre que nos systèmes ont été compromis. Les incidents rapportés concernent des utilisateurs individuels ciblés par des attaques de type ingénierie sociale. »
Le modèle de responsabilité partagée
Cette affaire soulève une question fondamentale : les solutions cloud sont-elles aussi sûres qu'on le croit ? Le modèle SaaS repose sur un partage des responsabilités entre l'éditeur et le client : Salesforce garantit la sécurité de l'infrastructure, mais la protection des accès et des données internes relève des entreprises utilisatrices.
🔐 Recommandations de Salesforce
Activer l'authentification multifacteur (MFA)
Protection essentielle contre le vol d'identifiants
Limiter les droits administrateur
Principe du moindre privilège pour réduire la surface d'attaque
Surveiller les connexions suspectes
Alertes sur les accès inhabituels ou géographiquement incohérents
Former le personnel
Sensibilisation aux nouvelles techniques de social engineering
Les experts en cybersécurité rappellent que la plupart des attaques ne proviennent pas d'une faille logicielle, mais d'un manque de sensibilisation humaine : mots de passe réutilisés, accès administrateur mal configurés, absence d'authentification multifacteur…
Conséquences et riposte internationale
Pour les sociétés touchées, les impacts sont considérables : fuite de données sensibles, risque de fraude à l'identité, perte de confiance des clients et atteinte à la réputation. Plusieurs entreprises ont déjà annoncé des mesures d'urgence.
⚠️ Réactions des entreprises touchées
Allianz Life
2 ans de surveillance d'identité gratuite offerts aux assurés concernés
TransUnion
Confirmation de la compromission de 4,4 millions de dossiers
Workday
Audits internes et renforcement immédiat des procédures d'accès
Kering
Audits internes lancés, renforcement des contrôles de sécurité
Le coût d'une fuite de données
Selon l'étude annuelle de l'IBM Cost of Data Breach 2025, le coût moyen d'une fuite de données atteint désormais 4,45 millions de dollars par incident. Pour les grandes entreprises, ce montant peut grimper jusqu'à plus de 40 millions lorsqu'il s'agit de données clients sensibles.
Impact financier immédiat
Impact à long terme
Enquête internationale en cours
Le FBI et Europol ont ouvert une enquête internationale. Les équipes de cyber-threat intelligence des grands éditeurs (Microsoft, Palo Alto Networks, Cloudflare) coopèrent pour tenter d'identifier les serveurs de commande et les flux financiers associés à cette attaque. Dans le même temps, plusieurs pays européens évoquent un renforcement du cadre juridique sur la protection des données hébergées dans le cloud.
Vers une riposte plus intelligente : Face à cette escalade, les experts appellent à une cybersécurité proactive, intégrant l'IA pour détecter les anomalies comportementales avant qu'il ne soit trop tard. Les outils de Zero Trust Security, les systèmes d'analyse comportementale et la formation continue des employés deviennent des priorités absolues.
❓ Questions fréquentes
Combien de données ont été dérobées dans l'attaque Salesforce ?
Les hackers revendiquent le vol de près d'un milliard d'enregistrements clients issus de bases hébergées par Salesforce. Les données compromises incluraient noms, emails, numéros de téléphone, données de facturation et parfois numéros de sécurité sociale pour les utilisateurs américains.
Qui sont les hackers derrière l'attaque ?
Une alliance de trois groupes cybercriminels : Lapsus$ (connu pour les fuites Microsoft, Samsung, Nvidia), ShinyHunters (spécialiste de la revente de bases de données) et Scattered Spider (expert en social engineering et vishing). Ils opèrent via le site dark web « Scattered LAPSUS$ Hunters ».
Quelles entreprises sont touchées ?
Parmi les victimes citées : Google, Allianz Life, Kering, Qantas, Stellantis, TransUnion, Workday, FedEx, Hulu et Toyota. TransUnion a confirmé la compromission de 4,4 millions de dossiers. Allianz Life propose 2 ans de surveillance d'identité à ses clients affectés.
Comment les hackers ont-ils procédé ?
Selon le FBI et ZDNet, les pirates ont utilisé du vishing (hameçonnage vocal) pour convaincre des employés de fournir leurs identifiants Salesforce. Cette technique d'ingénierie sociale repose sur la manipulation psychologique plutôt que sur l'intrusion technique directe.
Salesforce a-t-elle été piratée directement ?
Salesforce dément toute faille dans ses systèmes. L'entreprise affirme qu'aucune vulnérabilité n'a été exploitée et que les attaques ont ciblé des utilisateurs individuels via ingénierie sociale, pas sa plateforme directement. Le modèle SaaS implique une responsabilité partagée entre l'éditeur et les clients.
Conclusion : une nouvelle ère de la cybercriminalité
L'affaire Salesforce s'ajoute à une liste croissante de cyberattaques internationales : MGM Resorts, British Airways, et plus récemment, le ministère de la Santé britannique. Toutes ces attaques ont un point commun : elles exploitent la faiblesse humaine au cœur des systèmes numériques.
L'alliance entre Lapsus$, ShinyHunters et Scattered Spider marque peut-être la naissance d'une nouvelle génération de cybercriminalité coordonnée, capable de combiner vols de données, extorsion et manipulation d'informations. Dans le cas de Salesforce, même si la plateforme n'est pas directement compromise, l'association de son nom à un vol massif pourrait durablement affecter sa crédibilité dans le secteur du cloud B2B.
L'incident rappelle une vérité simple : la sécurité ne dépend pas uniquement de la technologie, mais aussi de la vigilance humaine. Mots de passe réutilisés, accès administrateur mal configurés, absence de MFA, manque de formation… Les failles sont souvent plus humaines que techniques. Et c'est précisément ce que les cybercriminels ont compris.