Le 8 août 2025, plusieurs dirigeants de petites et moyennes entreprises reçoivent un email inattendu de Google. Le géant américain les informe qu’une fuite a exposé leurs coordonnées, ainsi que des notes relatives à leurs activités commerciales. En cause : une cyberattaque ayant permis à des pirates d’accéder à l’une de ses bases de données. Ironie du sort, le mode opératoire de cette offensive avait été largement documenté… par Google lui-même.

C’est un papier de recherche qui ne cesse d’être mis à jour depuis sa première publication, le 4 juin 2025.

Dans cet article, l’équipe de recherche en cybersécurité de Google Threat Intelligence décortique les méthodes d’une attaque sophistiquée fondée sur l’ingénierie sociale.

Dans une première note ajoutée le 5 août, Google annonce que ses équipes ont elles-mêmes été trompées par les cybercriminels. Puis, le 8 août, deux nouvelles mises à jour viennent préciser la situation : la première informe que les clients concernés par la fuite de données recevront un email de notification, la seconde annonce la clôture de l’incident, toutes les victimes ayant officiellement été alertées.

Le titre du papier résume parfaitement les faits : « The Cost of a Call: From Voice Phishing to Data Extortion », que l’on peut traduire par « Le prix d’un appel : de l’hameçonnage vocal à l’extorsion de données ». Depuis plusieurs mois, un acteur malveillant détourne la plateforme Salesforce pour piéger des employés de grandes entreprises et accéder à des informations clients.

bitdefender-logo
BIT BOX 3
Vos données méritent d’être mieux protégées.
Les escroqueries, les virus et les ransomwares ne sont plus une fatalité. Protégez votre vie privée et vos données personnelles avec Bitdefender et profitez de votre vie numérique en toute sérénité.
Voici comment protéger ma vie privée

L’attaque, qui a visé Google et d’autres sociétés, est particulièrement sournoise : un faux support informatique appelle un salarié et l’amène à autoriser, via Salesforce, une version truquée de l’outil Data Loader. Cette application frauduleuse offre alors aux pirates un accès à des bases de données, sans exploiter de faille technique, uniquement par manipulation humaine.

Salesforce avait averti en mars dernier sur les risques liés aux attaques via ingénierie sociale // Source : Capture Numerama
Salesforce avait averti en mars dernier sur les risques liés aux attaques via ingénierie sociale. // Source : Capture Numerama

Qui se cache derrière cette attaque ?

Les chercheurs de Google Threat Intelligence désignent le groupe cybercriminel sous le nom de UNC6040. Une dénomination temporaire (UNC étant le diminutif de Uncategorized) avant de pouvoir formellement attribuer l’attaque à un groupe cybercriminel.

De son côté, le média américain Bleeping Computer déclare être en contact avec certains de ces hackers, associés formellement à ShinyHunters. Un groupe spécialisé, justement, dans l’extorsion de données depuis plusieurs années.

Dans ces communications anonymes, les pirates affirment ne pas agir seuls. Ils travailleraient en étroite collaboration avec un autre groupe, spécialisé quant à lui dans le ransomware : Scattered Spider. « Ils nous fournissent l’accès initial et nous effectuons la copie et l’exfiltration des instances Salesforce CRM. »

Les grands groupes comme cible privilégiée

Dans un entretien accordé à Numerama en juillet 2025, Adam Meyers, Vice-président des opérations de défense contre les menaces chez CrowdStrike, confiait d’ailleurs que Scattered Spider représentait une des menaces les plus en vues sur les entreprises.

Selon l’expert, leur méthode, particulièrement efficace, refléterait l’évolution des menaces qui pèsent sur les organisations : « L’identité et le cloud sont les deux plus grands vecteurs par lesquels les acteurs cybercriminels s’introduisent. Il serait important pour les gens de comprendre, que plutôt que d’essayer de s’introduire avec des malwares, les adversaires se contentent de voler des identités et de se connecter en tant qu’utilisateurs légitimes, ce qui est très difficile à suivre. »

C’est précisément ce type de méthode qui a fait mouche chez Google et d’autres grands groupes victimes de cette cyberattaque par Salesforce.

Via un communiqué adressé à la presse, les chercheurs de l’ESET ont alerté, ce lundi 11 août 2025, sur les risques que pourraient faire peser une union des forces entre ShinyHunters et Scattered Spider.

Air France fait-elle partie de la liste des victimes ? L’hypothèse est prise au sérieux. La compagnie aérienne française a récemment été victime d’une « violation de données », mais pour l’heure, aucun responsable n’a été formellement pointé du doigt. Début juillet 2025, le FBI signalait également que Scattered Spider avait jeté son dévolu sur le secteur aérien.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour de l’actu en petit comité, rejoignez la communauté Numerama sur WhatsApp !