Dans un communiqué publié le 15 août 2025, le géant des logiciels RH Workday annonce avoir été victime d’une cyberattaque ayant compromis certaines données professionnelles de ses clients. L’offensive s’inscrit dans un mode opératoire particulièrement efficace, qui vise les CRM des entreprises et qui continue d’accumuler les victimes de renom.

« Nous avons récemment identifié Workday comme cible et des acteurs malveillants ont pu accéder à certaines informations de notre plateforme CRM tierce. » Voilà un extrait du message qu’ont pu recevoir de nombreux professionnels, clients de Workday, leader mondial des solutions cloud pour la gestion RH et financière des entreprises.

L’incident, qui aurait débuté début août 2025, a été officialisé le 15 du même mois sur le site internet de la société américaine : des hackers ont accédé à une base de données commerciale externe, utilisée pour gérer les relations clients (CRM).

Dans son communiqué, Workday déroule le mode opératoire des assaillants : « Dans cette campagne, des acteurs malveillants contactent les employés par SMS ou par téléphone en se faisant passer pour des employés des ressources humaines ou du service informatique. Leur objectif est de les inciter à divulguer leur accès à leur compte ou leurs informations personnelles. »

Un procédé fondé sur l’ingénierie sociale, qui connaît un succès préoccupant depuis plusieurs mois et touche de nombreuses grandes entreprises.

bitdefender-logo
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Protéger ma vie privée simplement
L'attaque consiste à inciter un employé à communiquer ses indentifiants Salesforce ou approuver l'installation d'un plug-in frauduleux permettant l'extorsion des données clients. // Source : Mandiant
L’attaque consiste à inciter un employé à communiquer ses identifiants Salesforce ou à approuver l’installation d’un plug-in frauduleux permettant l’extorsion des données clients. // Source : Mandiant

Les données volées et leur intérêt pour les hackers

Dans sa communication, Workday s’efforce de rassurer ses quelque 70 millions d’utilisateurs à travers le monde. Le géant américain précise que les informations compromises sont essentiellement des coordonnées, adresses email et notes commerciales associées à des clients et partenaires, des données qui, pour la plupart, sont déjà accessibles publiquement.

L’entreprise affirme qu’aucune donnée RH, financière, médicale ou bancaire traitée par ses plateformes internes n’a été affectée par cette attaque.

Workday n’a pas révélé combien d’entreprises ont vu leurs informations exposées. Elle indique toutefois que l’incident est désormais clos et que « des mesures de protection supplémentaires » ont été mises en place afin d’éviter que de tels événements ne se reproduisent.

Les attaques par CRM s’accumulent

Difficile cependant de garantir qu’un tel incident ne pourra pas se reproduire à l’avenir. L’attaque via CRM ne repose pas sur une faille technique ou une vulnérabilité complexe : les assaillants misent sur la crédulité et la confiance des employés.

Workday n’a pas donné de détails sur la plateforme exacte compromise, mais cet épisode s’inscrit dans une série d’attaques qui visent les bases de données clients hébergées sur Salesforce.

La plateforme, utilisée par plus de 150 000 entreprises à travers le monde, est consciente du problème et avait alerté ses clients dès mars 2025, sur les risques que pouvaient comporter ces attaques.

Ces dernières semaines, des multinationales comme Google ou Cisco ont subi des vols massifs de données issues de leurs outils Salesforce.

Les chercheurs en cybersécurité de Google attribuent ces attaques au groupe cybercriminel ShinyHunters, réputé pour utiliser le phishing vocal dans leurs escroqueries.

La menace pourrait ne pas s’arrêter là. Selon Google Threat Intelligence, ShinyHunters pourrait bientôt publier un site regroupant toutes les fuites. Une tactique pour contraindre les victimes à payer des rançons afin que leurs données ne soient pas publiées et qui amplifieraient les craintes d’association entre ShinyHunters et le groupe cybercriminel Scattered Spider, spécialisé justement dans le ransomware.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !