mer. Juin 24th, 2026
Cybersécurité

Clients Salesforce en péril : ShinyHunters et Scattered Spider unissent leurs forces

ByJulien Macé

Août 17, 2025

Les attaques basées sur l’identité contournent les contrôles techniques grâce à la manipulation humaine

Une campagne de manipulation sociale coordonnée visant les clients de Salesforce a révélé des vulnérabilités critiques concernant la manière dont les entreprises sécurisent leurs environnements SaaS. Cela démontre que les utilisateurs authentifiés peuvent devenir le vecteur d’attaque le plus efficace lorsqu’ils sont manipulés par des acteurs malveillants sophistiqués.

La campagne, orchestrée apparemment en collaboration avec le groupe d’extorsion de données établi, ShinyHunters, et des spécialistes de la manipulation sociale, Scattered Spider (également connu sous le nom de UNC3944), a compromis des dizaines d’organisations de renom, y compris Google, Cisco, les marques LVMH et Qantas. Les attaquants ont obtenu l’accès aux données de gestion de la relation client en exploitant l’autorisation basée sur OAuth pour les applications connectées de Salesforce, par le biais d’attaques de pêche voix soigneusement planifiées.

L’Exploitation Technique : Armer la Confiance

La méthodologie d’attaque révèle une compréhension sophistiquée des protocoles d’identité modernes et de leurs hypothèses de confiance inhérentes. Plutôt que d’exploiter une vulnérabilité technique, les attaquants ont passé des appels de phishing vocal en se faisant passer pour le personnel informatique, guidant les employés vers la page de configuration des applications connectées de Salesforce, où ils devaient entrer un code à 8 chiffres fourni par l’attaquant.

Diagramme de flux d'attaque vishing OAuth montrant la méthodologie d'exploitation des applications connectées Salesforce en contournant l'authentification MFA
Méthodologie d’attaque vishing en six étapes contournant le MFA en ciblant les actions administratives post-authentification plutôt que l’événement de connexion lui-même.

Cette action a déclenché un flux d’autorisation OAuth 2.0 pour une application connectée malveillante contrôlée par les acteurs de la menace, leur accordant des jetons d’accès API persistants avec les mêmes autorisations que l’utilisateur autorisant. L’astuce réside dans le contournement complet de l’authentification à facteurs multiples (MFA) : l’attaque ciblait les actions administratives post-authentification plutôt que l’événement de connexion lui-même.

Les attaquants ont probablement créé de fausses applications de bureau se faisant passer pour des outils légitimes de Salesforce tels que Data Loader, réutilisant les mêmes identifiants clients et URIs de redirection que les applications officielles pour faire apparaître les demandes d’autorisation comme routinières. Cette technique a contourné les contrôles d’autorisation d’applications, les systèmes de sécurité percevant les demandes comme provenant d’applications de confiance et pré-approuvées.

Une Partenariat Criminel Émerge

Cette campagne représente une évolution significative de l’organisation criminelle en cybersécurité. Les deux groupes semblent avoir des liens avec “La Communauté” ou “The Com”, un collectif lâche de jeunes individus anglophones, techniquement avertis, opérant sur des plateformes comme Telegram et Discord.

Diagramme de partenariat entre Scattered Spider et ShinyHunters indiquant le modèle de Crime-as-a-Service et la chronologie des attaques de phishing vocal
Modèle de collaboration des acteurs de la menace montrant comment le collectif “The Com” coordonne l’Accès-en-tant-que-Service avec les capacités d’Extorsion-en-tant-que-Service.

ShinyHunters, connu depuis 2020 pour des violations de données à grande échelle et la vente de données sur le dark web, s’est traditionnellement basé sur des exploits techniques. Scattered Spider, qui a émergé en 2022, se spécialise dans la manipulation sociale, visant particulièrement les bureaux d’assistance informatique à travers le phishing vocal, le détournement de carte SIM, et la fatigue de MFA.

Le partenariat semble modulaire : Scattered Spider fournit un “accès-en-tant-que-service” via son manuel éprouvé de phishing vocal, tandis que ShinyHunters utilise son infrastructure d’extorsion pour la monétisation. Une analyse judiciaire a révélé que les domaines de phishing suivaient des schémas précédemment attribués à Scattered Spider, avec des détails d’enregistrement partagés indiquant une infrastructure coordonnée.

Le Modèle d’Extorsion Retardée Maximise la Pression

La stratégie de monétisation employée était l’extorsion retardée, les attaquants attendant plusieurs semaines ou mois après le vol initial de données pour contacter les victimes avec des demandes de rançon allant de 4 à 20 Bitcoin. Les victimes non-conformes étaient publiquement nommées sur des chaînes Telegram où des échantillons de données étaient divulgués, créant une immense pression sur leur réputation.

Bien que les victimes aient souligné que les données compromises se limitaient aux informations de contact professionnelles plutôt qu’à des dossiers financiers ou de santé sensibles, ces données de contact soignées fournissent des listes de prospects de haute qualité pour de futures opérations criminelles, notamment le phishing ciblé et la compromission d’emails professionnels.

Réaction de Salesforce et Implications pour l’Industrie

Salesforce a maintenu que ces incidents résultaient de manipulations sociales plutôt que de vulnérabilités de la plateforme, émettant des conseils de sécurité demandant aux clients de revoir les meilleures pratiques, y compris l’activation de la MFA, l’application du principe du moindre privilège et la gestion des applications connectées.

Cette campagne valide un changement fondamental dans le paysage des menaces. À mesure que les organisations migrent vers des plateformes cloud et SaaS, l’identité a remplacé le réseau comme principal périmètre de sécurité. Le rapport d’enquête sur les violations de données 2024 de Verizon a révélé que près de 40 % des intrusions impliquaient des identifiants compromis, soulignant la dominance des attaques basées sur l’identité.

Stratégies de Mitigation Critiques

Les experts en sécurité recommandent des actions tactiques immédiates :

Les organisations devraient restreindre les autorisations d’autorisation des applications connectées à un petit groupe d’administrateurs approuvés et activer le contrôle d’accès API, qui bloque tout accès API provenant d’applications non explicitement approuvées par des administrateurs.

Les protocoles du bureau d’assistance informatique doivent inclure des procédures strictes de vérification d’identité avec vérification multi-canal, telles que des rappels à des numéros préenregistrés. Les programmes de sensibilisation à la sécurité doivent évoluer au-delà des formations générales sur le phishing pour inclure des simulations basées sur des scénarios de phishing vocal.

Diagramme de stratégie de défense de sécurité Salesforce montrant le processus technique, les contrôles humains et la mise en œuvre de SSPM contre les attaques de phishing vocal
Stratégie de défense multi-couche nécessaire pour protéger contre les attaques basées sur l’identité qui exploitent les actions administratives post-authentification.

Sur le plan stratégique, les entreprises ont besoin de solutions complètes de gestion de la posture de sécurité SaaS (SSPM) pour maintenir la visibilité sur l’ensemble de leur portefeuille SaaS. Les outils SSPM permettent une surveillance centrale des configurations de sécurité, détectent les erreurs de configuration et garantissent la conformité. Parmi ceux-ci, on retrouve AutoRABIT Guard et AppOmni.

La campagne de phishing vocal autour de Salesforce démontre que sécuriser les entreprises modernes nécessite plus que des contrôles techniques. Les organisations doivent aborder la “faille de confiance” entre les utilisateurs authentifiés et les systèmes auxquels ils accèdent, en mettant en œuvre une vérification continue même pour les identités de confiance. À mesure que les acteurs malveillants collaborent et se spécialisent de plus en plus, les défenseurs doivent adopter des stratégies de sécurité sophistiquées et multicouches qui protègent à la fois l’infrastructure technique et les humains qui l’exploitent.

La leçon est claire : à l’ère du SaaS et du cloud, la vulnérabilité la plus critique ne réside pas dans le code, mais dans le fossé entre la confiance humaine et la sécurité des systèmes.

Pour Plus d’Informations

Pour en savoir plus sur les acteurs de la menace, leurs techniques et comment sécuriser votre environnement Salesforce, nous recommandons les ressources suivantes :

  1. Google Cloud (Mandiant) : Il ne s’agit pas d’une nouveauté clinquante : Les abus de Salesforce et Slack par les acteurs de la menace pour extorsion de données – Une analyse technique détaillée de la campagne de phishing vocal et de l’abus des flux OAuth2 de Salesforce pour l’exfiltration de données.
  2. CISA Advisory : Scattered Spider – Le conseil officiel de l’Agence de cybersécurité et de sécurité des infrastructures détaillant les tactiques, techniques et procédures (TTP) du groupe d’acteurs de la menace Scattered Spider.
  3. Salesforce Security : Protégez votre organisation Salesforce contre le phishing et les malwares – Le guide officiel de Salesforce sur la sécurisation des applications connectées et la protection contre les tactiques de manipulation sociale.

Bon à savoir

  • Les attaques par phishing vocal peuvent cibler tous les secteurs, pas seulement les technologies.
  • Les formations en sensibilisation à la sécurité doivent être actualisées régulièrement pour rester pertinentes.
  • L’utilisation de l’authentification à deux facteurs est un outil essentiel pour renforcer la sécurité.

A l’échelle mondiale, ce type de menace pose la question de la confiance dans les systèmes de sécurité que nous avons mis en place. Comment les organisations peuvent-elles équilibrer innovation technologique et sécurité humaine ? La réponse nécessitera à la fois une vigilance constante et une adaptation des méthodes en fonction des évolutions des cybermenaces.


Partager : X Facebook WhatsApp LinkedIn Reddit

By Julien Macé

Articles de la même catégorie

Cybersécurité

Cycurion Finalise l’Acquisition de Secuvant et Renforce sa Plateforme de Cyberdéfense Panoptique !

Juin 11, 2026
Cybersécurité

Cycurion, Inc. réalise une acquisition transformative de Secuvant, LLC et de sa plateforme phare de cybersécurité Panoptic

Juin 10, 2026
Cybersécurité

Cycurion, Inc. Achève une Acquisition Révolutionnaire de Secuvant, LLC et de sa Plateforme Phare en Cybersécurité Panoptique

Juin 10, 2026

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *


Ne ratez pas

Sciences

Le gouvernement prévoit environ 30 zones publiques sécurisées pour observer l’éclipse aux Baléares !

23 juin 2026
Cryptos

Chainlink s’associe à 47 banques en Corée du Sud et en Europe pour accélérer les transferts d’argent internationaux !

23 juin 2026
Intelligence Artificielle

Frappez fort avec l’Odyssée : Laissez-vous emporter par la narration de Michael Caine !

23 juin 2026
Sciences

Cerveau : Un homme paralysé retrouve la parole après 19 mois !

23 juin 2026
Des questions ?

Vous pouvez contacter la rédaction à tout moment, pour nous proposer un bon plan ou soumettre une idée, c’est par ici ⬇️

Contactez l’équipe !

Suivez nous sur Google Actualités

Google Actualités
Soutenez Nous en mettant en Favoris

LesNews | 2025 - Tous droits réservés.