C’est une opération savamment orchestrée, révélée par les chercheurs de Google Threat Intelligence, qui repose sur une arme redoutable : l’ingénierie sociale. La cible des hackers : Salesforce, l’une des principales plateformes mondiales de cloud, spécialiste de la gestion de la relation client (CRM), et utilisée par les entreprises pour centraliser toutes leurs données clients. Leur point d’entrée : les employés.
Tout commence par un appel téléphonique d’un faux support informatique. L’interlocuteur, très convaincant, dirige le salarié ciblé vers la page de configuration des applications connectées à Salesforce et lui demande d’approuver une version truquée de Data Loader, un outil qui permet la gestion des données. Cette version frauduleuse, en réalité contrôlée par les hackers, leur donne un accès total.
Une fois l’installation terminée, l’attaque se déclenche. Les cybercriminels, identifiés par Google sous le nom de groupe UNC6040, récupèrent les identifiants Salesforce de la victime et peuvent alors consulter, copier ou extraire d’importantes quantités de données sensibles depuis le cloud de l’entreprise.
Et l’intrusion ne s’arrête pas là : grâce à cet accès initial, les pirates peuvent infiltrer d’autres services cloud comme Microsoft 365 ou Okta, compromettant ainsi l’ensemble du système informatique de la société.
Des entreprises victimes d’extorsion
Ce mode opératoire, qui combine vishing (phishing vocal, par téléphone) et usurpation logicielle, a déjà fait, au minimum, une vingtaine de victimes, selon Reuters. Tous les secteurs sont concernés : éducation, hôtellerie, distribution… Certaines entreprises ont subi des vols de données massifs, suivis de tentatives d’extorsion plusieurs mois après l’intrusion initiale.
Les attaquants n’hésitent pas à se réclamer de groupes notoires comme ShinyHunters pour accentuer la pression sur leurs cibles. Rien n’indique pour l’heure qu’il s’agisse du même groupe, les caractéristiques techniques et opérationnelles correspondant plutôt à celles de groupes liés à The Com, un collectif de cybercriminels connu pour ses campagnes hybrides mêlant ingénierie sociale et extorsion.
Là où cette campagne se distingue, c’est dans sa capacité à contourner les défenses traditionnelles. Aucune faille technique n’est exploitée dans Salesforce : tout repose sur la tromperie et la manipulation humaine. Un danger que Salesforce avait d’ailleurs signalé, dans un communiqué en mars 2025, destiné à ses utilisateurs.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !
