🕵️♀️ Petit rappel : la donnée client, c’est votre or noir. Et visiblement, certains groupes cyber n’ont pas besoin de forage — juste d’un bon mensonge bien envoyé par mail.
Selon un rapport publié par Google Threat Intelligence, un groupe se revendiquant des ShinyHunters mène actuellement une campagne d’extorsion de données via des attaques ciblées sur les comptes Salesforce d’entreprises multinationales.
Ce n’est pas un zero-day. Ce n’est pas un exploit kernel obscur. C’est de l’ingénierie sociale bien ficelée, avec un seul but : accéder à vos comptes CRM, pomper vos données, et vous faire raquer pour ne pas les voir exposées sur le dark web.
🧠 Salesforce : la forteresse CRM… aux portes en papier mâché
Salesforce, c’est le coffre-fort commercial de milliers d’entreprises. On y trouve :
- Des données clients confidentielles,
- Des historiques d’interactions,
- Des documents internes,
- Et parfois même des accès à d’autres systèmes intégrés.
Mais un coffre-fort, ça ne sert à rien si l’employé qui détient la clé se fait manipuler en trois messages LinkedIn.
🛠️ Le modus operandi des pirates (c’est simple, et ça marche)
D’après les infos de Google, l’attaque se déroule en plusieurs étapes douces et perfides :
- Repérage d’une cible en interne (comptable, manager, prestataire, voire RH).
- Approche par phishing ou messagerie pro, souvent via un faux service IT, un prestataire, ou un lien de « maintenance urgente ».
- Obtention d’identifiants ou de tokens d’accès à Salesforce.
- Exfiltration des données sensibles : clients VIP, contrats, adresses, informations internes, etc.
- 💣 Extorsion directe : « Payez ou on balance tout. »
Aucune faille Salesforce n’est exploitée ici. Ce sont les humains qui tombent — comme souvent.
🧨 Pourquoi c’est critique ? Spoiler : vos commerciaux sont (souvent) la faille
Là où c’est brillant (ou tragique), c’est que ces attaques contournent :
- Les audits ISO qui dorment dans un SharePoint,
- Le MFA si on obtient le terminal d’un collaborateur ou s’il est mal configuré,
- Et toutes les “politiques sécurité” qu’on applique uniquement à la DSI.
Salesforce est trop souvent considéré comme un outil “métier” et non “technique”. Résultat : peu ou pas de surveillance réelle côté sécurité.
Les pirates le savent. Et ils adaptent leurs scénarios à la psychologie des commerciaux et des chefs d’équipe : urgent, direct, fluide, convaincant. On ne vous hacke pas, on vous convainc de vous hacker vous-même.
🧰 Mesures à prendre (ou comment éviter de finir en PDF sur un forum russe)
✅ Checkpoint de survie Salesforce :
- Formation anti-ingénierie sociale obligatoire pour tous les utilisateurs ayant accès à des données sensibles.
- Audit des comptes utilisateurs : qui a accès à quoi ? Combien de comptes inactifs ? De comptes sans MFA ?
- Activation des alertes de connexion anormale : login depuis une IP ukrainienne à 3h du matin ? Red flag.
- Journalisation et supervision des actions utilisateurs (logins, exports, transferts de données).
- Désactivation des comptes invités, prestataires inutilisés, ou anciens collaborateurs (le ménage, c’est pas qu’au printemps).
💬 Google alerte. Les RSSI s’arrachent les cheveux. Les pirates se frottent les mains.
Ce n’est pas la première fois que le nom ShinyHunters circule. Ils sont déjà connus pour des fuites massives de bases clients dans les années 2020, avec des données revendues à prix cassé. Aujourd’hui, ils changent de stratégie : plus rapide, plus ciblé, plus rentable.
Et ce n’est que le début. Car si ça marche avec Salesforce, à qui le tour ? Hubspot ? Dynamics ? Zoho ? Toutes les plateformes CRM sont concernées.
🎙️ Conclusion SecuSlice : Salesforce, c’est le CRM des champions. Mais sans sécurité, c’est le buffet libre du cybercrime.
Quand un outil business critique n’est pas traité comme une surface d’attaque, on court au-devant d’un désastre.
On investit dans des campagnes marketing, des tunnels de conversion et du tracking comportemental…
Mais on oublie que tout ce beau monde repose sur des accès administrateurs trop larges et des mots de passe trop simples.
Et pendant ce temps, les hackers, eux, n’ont même pas besoin de casser la porte : on leur tend la clé avec le sourire.
