Le 3 octobre 2025, un collectif criminel se présentant sous le nom de Scattered LAPSUS$ Hunters a mis en ligne un site de fuite menaçant de publier les données volées à des dizaines d’entreprises. Au cœur de l’affaire, un nom déjà tristement célèbre : ShinyHunters. Le groupe revendique le vol d’environ 1,5 milliard d’enregistrements issus d’instances Salesforce, et la liste des victimes se lit comme un annuaire du luxe et des grands comptes français : LVMH, Dior, Louis Vuitton, Chanel et Air France-KLM y figurent. Huit mois plus tard, en juin 2026, les retombées juridiques et réputationnelles continuent de s’étendre en Europe, et l’attaque sert désormais de cas d’école sur les risques liés aux intégrations applicatives.

Cette campagne ne ressemble à aucune des grandes intrusions classiques. Aucune faille dans le logiciel Salesforce n’a été exploitée. Les attaquants ont détourné des jetons d’authentification OAuth légitimes pour aspirer, en silence, des bases de données clients entières. Voici l’analyse complète de l’attaque ShinyHunters, de son fonctionnement technique à son impact sur les entreprises européennes et le RGPD.

ShinyHunters revendique 1,5 milliard d’enregistrements Salesforce volés

Le chiffre donne le vertige. Selon les revendications du groupe, relayées par BankInfoSecurity et le média InCyber, ShinyHunters affirme avoir dérobé près de 1,5 milliard d’enregistrements à travers la campagne visant les environnements Salesforce. Lors du lancement du site de fuite, la société de renseignement Rescana évoquait de son côté un volume revendiqué d’environ 1 milliard d’enregistrements, provenant de 39 à 40 organisations distinctes. Ces totaux restent des allégations émanant des attaquants eux-mêmes, mais ils donnent la mesure de l’ambition de l’opération.

La temporalité est désormais bien documentée. D’après le Google Threat Intelligence Group (GTIG), l’activité de vol liée à l’intégration Salesloft Drift a démarré dès le 8 août 2025 et s’est poursuivie jusqu’au 18 août au moins. Le 12 septembre 2025, le centre IC3 du FBI publiait une alerte officielle visant deux clusters d’activité, baptisés UNC6040 et UNC6395, pour leurs intrusions par ingénierie sociale et vol de données à des fins d’extorsion. Le 22 septembre, la revendication des 1,5 milliard d’enregistrements faisait surface dans la presse spécialisée. Puis, le 3 octobre, le site d’extorsion entrait en scène.

Le périmètre dépasse largement les frontières françaises. Google a reconnu que sa propre instance Salesforce d’entreprise avait été compromise dans le cadre de la campagne 2025. Cloudflare figure également parmi les organisations touchées, aux côtés d’Allianz Life, d’Adidas et de la compagnie aérienne Qantas. La diversité des secteurs concernés, du luxe à l’aérien en passant par la cybersécurité elle-même, illustre la portée d’une attaque qui visait non pas un produit, mais un mode de connexion partagé par des milliers d’entreprises.

Comment l’attaque a fonctionné : l’abus des jetons OAuth de Salesloft Drift

Pour comprendre cette affaire, il faut oublier l’image du pirate qui force une porte. Ici, les attaquants disposaient déjà de la clé. La campagne repose sur le détournement de jetons OAuth, ces autorisations numériques qui permettent à deux applications de communiquer sans échanger de mot de passe à chaque requête. Lorsqu’une entreprise connecte un outil tiers à son Salesforce, elle accorde à cet outil un jeton qui agit comme un laissez-passer permanent.

Le maillon compromis fut Salesloft Drift, un agent conversationnel commercial intégré à de nombreuses plateformes Salesforce. En s’emparant des jetons OAuth associés à cette intégration, les attaquants ont pu interroger directement les instances Salesforce des clients de Drift, exporter des objets entiers (comptes, contacts, opportunités, tickets de support) et le faire avec les privilèges d’une application de confiance. Aucune alerte de connexion suspecte, aucun mot de passe à deviner. Le trafic ressemblait à une synchronisation routinière.

Le Google Threat Intelligence Group a été catégorique sur un point essentiel : l’incident n’a impliqué aucune vulnérabilité du produit Salesforce lui-même. Les jetons volés ont servi à siphonner les données, mais la plateforme n’a pas été piratée au sens technique. KrebsOnSecurity a par ailleurs averti que la brèche dépassait le seul périmètre Salesforce : les pirates auraient également volé des jetons d’authentification valides pour d’autres services connectés, transformant une compromission unique en une chaîne de portes dérobées.

Le maillon faible : la chaîne d’approvisionnement logicielle

Cette attaque est avant tout une attaque de la chaîne d’approvisionnement logicielle (supply chain). En compromettant un fournisseur intermédiaire, Salesloft, les attaquants ont atteint en cascade des centaines de clients finaux. Le modèle rappelle d’autres incidents récents touchant l’écosystème SaaS, où la confiance accordée à un connecteur devient le vecteur d’une compromission de masse. Pour les responsables sécurité, la leçon est brutale : la surface d’attaque d’une entreprise inclut désormais chaque application tierce à laquelle elle a accordé un jeton, qu’elle l’utilise encore activement ou non.

Les victimes françaises : LVMH, Dior, Louis Vuitton, Chanel et Air France-KLM

La dimension française de cette affaire est frappante. Lors de la mise en ligne du site de fuite le 3 octobre 2025, plusieurs fleurons de l’économie hexagonale figuraient parmi les victimes listées. Les filiales du groupe LVMH, dont Dior et Louis Vuitton, ont été nommées. Chanel apparaissait également, son centre de relation client ayant été affecté dans le cadre plus large de la campagne Salesforce. Enfin, Air France et KLM faisaient partie des entreprises listées sur le portail d’extorsion.

Sur la nature des données, la prudence reste de mise. Pour les maisons de luxe, les rapports évoquent l’exposition de données personnelles clients et d’informations de ventes : noms, coordonnées, historiques d’achats. Ces éléments, sans contenir de données bancaires complètes, constituent une matière première précieuse pour le phishing ciblé et l’usurpation d’identité. Une clientèle fortunée, identifiée par ses achats de produits de luxe, devient une cible de choix pour des campagnes de fraude sur mesure.

Les volumes exacts par marque et la liste précise des champs exposés n’ont pas été confirmés publiquement par les entreprises concernées dans les sources disponibles. De même, l’existence de notifications formelles à la CNIL pour chacune de ces victimes n’est pas documentée publiquement. Le RGPD impose pourtant une notification à l’autorité de contrôle dans les 72 heures suivant la prise de connaissance d’une violation de données personnelles présentant un risque pour les personnes. Cette zone d’ombre est, en soi, un sujet d’analyse.

Chronologie et victimes : les faits clés de la campagne

DateÉvénementDétail vérifié
8-18 août 2025Début du vol de donnéesDétournement des jetons Salesloft Drift (source : Google GTIG)
12 septembre 2025Alerte FBI IC3Mise en garde sur les clusters UNC6040 et UNC6395
22 septembre 2025Revendication du volume1,5 milliard d’enregistrements revendiqués (presse spécialisée)
3 octobre 2025Lancement du site de fuite39 organisations listées, ultimatum fixé au 10 octobre
8 octobre 2025Réponse de SalesforceRefus public de négocier ou de payer une rançon
Novembre 2025Nouvelle revendicationCompromission de Gainsight via abus de jetons OAuth (source : Mitiga)

Cette chronologie montre une opération méthodique, étalée sur plusieurs mois, où la phase de vol silencieux précède de loin la phase d’extorsion publique. Entre le premier accès en août et la mise en ligne du site en octobre, les attaquants ont disposé de semaines pour exfiltrer et trier leur butin avant de passer à la pression médiatique.

Le site de fuite et la mécanique de l’extorsion

Le site mis en ligne le 3 octobre 2025 obéit à une logique désormais classique de la double extorsion, adaptée ici au vol de données pur. Selon Help Net Security, le portail listait 39 entreprises, chaque entrée précisant la date, le type et la quantité de données dérobées. Picus Security a confirmé que le collectif fixait un ultimatum au 10 octobre : payer, ou voir les données publiées. Cette mise en scène vise autant les victimes individuelles que Salesforce, désigné comme cible collective afin de maximiser la pression.

La communication des attaquants relève de la guerre informationnelle. Le collectif a animé une chaîne Telegram baptisée « Scattered LAPSUS$ Hunters 4.0 », qui aurait rassemblé près de 40 000 abonnés selon les observations rapportées par GTIG et KrebsOnSecurity. Cette visibilité publique, mêlant bravade et menaces, contraste avec la discrétion habituelle des groupes de rançongiciel et complique le travail des enquêteurs comme celui des communicants d’entreprise.

L’extorsion sans chiffrement marque une évolution. Les attaquants ne paralysent pas les systèmes, ils volent et menacent de divulguer. Pour une maison de luxe, la menace n’est pas l’arrêt de production mais la publication des habitudes d’achat de sa clientèle la plus exclusive, un scénario réputationnel potentiellement plus dévastateur qu’une panne technique.

Salesforce refuse de payer : la position de l’éditeur

Face à l’ultimatum, Salesforce a adopté une ligne ferme. L’éditeur a déclaré publiquement, le 8 octobre 2025, qu’il ne négocierait pas et ne paierait aucune rançon. Cette position, saluée par une partie de la communauté sécurité, s’appuie sur un argument de fond : Salesforce considère que sa plateforme n’a pas été vulnérable et que les compromissions résultent d’intégrations tierces et de configurations clients. L’éditeur a renvoyé la responsabilité du durcissement vers les pratiques de gestion des jetons OAuth et des connexions applicatives.

Ce refus de payer s’inscrit dans une tendance de fond encouragée par les autorités. Payer une rançon ne garantit ni la suppression des données ni l’absence de récidive, et finance directement l’écosystème criminel. Mais cette posture transfère le risque vers les entreprises clientes, qui se retrouvent en première ligne pour gérer la notification réglementaire, l’information de leurs clients et l’éventuelle publication de leurs données.

Qui se cache derrière ShinyHunters ?

ShinyHunters n’est pas un nouveau venu. Actif depuis 2019, ce groupe à motivation financière s’est spécialisé dans le vol de données SaaS, les intrusions amorcées par hameçonnage vocal (vishing) et l’extorsion, comme le documente le profil dressé par Huntress. Son nom est associé à une longue série de fuites massives ayant touché des dizaines d’entreprises depuis le début de la décennie. Le groupe a fait du vol de bases de données et de leur monnayage par chantage un modèle économique rodé.

Sébastien Raoult, le Français d’Épinal condamné

L’affaire comporte un fil rouge français peu connu du grand public. Sébastien Raoult, ressortissant français originaire d’Épinal et connu sous le pseudonyme « Sezyo Kaizen », a été identifié comme membre de ShinyHunters. Arrêté le 31 mai 2022 à l’aéroport de Rabat-Salé au Maroc alors qu’il s’apprêtait à rejoindre Bruxelles, il a été extradé vers les États-Unis en janvier 2023.

Devant un tribunal fédéral de Seattle, Raoult a plaidé coupable de complot en vue de fraude électronique et d’usurpation d’identité aggravée. En janvier 2024, il a été condamné à trois ans de prison et au versement de plus de 5 millions de dollars de dédommagement, selon The Record et SecurityAffairs. Plus récemment, quatre interpellations liées à la mouvance ShinyHunters ont eu lieu en France en juin 2025, signe que les autorités hexagonales surveillent de près ces réseaux. Ce volet judiciaire rappelle que derrière les pseudonymes anonymes se cachent des individus, parfois très jeunes, et que la coopération internationale finit par porter ses fruits.

La fusion du chaos : Scattered Spider, LAPSUS$ et ShinyHunters

La marque « Scattered LAPSUS$ Hunters » n’est pas anodine. Elle traduit la convergence de trois mouvances criminelles parmi les plus virulentes de ces dernières années : Scattered Spider, réputé pour son ingénierie sociale redoutable, LAPSUS$, connu pour ses coups d’éclat médiatiques, et ShinyHunters, expert du vol de bases de données. Les chercheurs d’Obsidian Security ont décrit cette association comme une potentielle fusion, fondée sur des tactiques communes, des dizaines de victimes partagées et une activité Telegram chaotique.

Picus Security a qualifié ce collectif de « supergroupe cybercriminel le plus dangereux de 2025 ». La combinaison est en effet inquiétante : l’accès initial par vishing de Scattered Spider, la théâtralisation de LAPSUS$ et l’expertise d’exfiltration de ShinyHunters. Cette mutualisation des compétences abaisse le coût d’entrée de chaque opération et augmente le taux de réussite. Pour les défenseurs européens, déjà confrontés à la pression de Scattered Spider chez Marks & Spencer, cette agrégation de talents criminels constitue une menace d’un nouveau genre.

Ce que disent les experts

L’attribution de cette campagne a fait l’objet d’un débat éclairant. Austin Larsen, analyste au Google Threat Intelligence Group, a fait preuve d’une prudence notable. Il a indiqué qu’il n’existait, à ce stade de l’enquête, « aucune preuve convaincante » permettant d’attribuer formellement l’activité liée à Salesloft Drift à ShinyHunters ou à un autre groupe connu. Cette réserve tranche avec l’assurance des extorqueurs, qui revendiquaient haut et fort la paternité de l’attaque. Dans le renseignement sur les menaces, la revendication d’un groupe ne vaut pas preuve.

Les autorités, elles, ont privilégié une approche par clusters techniques. Le FBI, via son centre IC3, a structuré son alerte autour des identifiants UNC6040 et UNC6395 plutôt que des marques médiatiques, soulignant le rôle central de l’ingénierie sociale et du vishing dans l’accès initial. Cette méthode permet de suivre des comportements observables sans se laisser piéger par les rebaptêmes incessants des groupes criminels.

Les analystes du secteur convergent toutefois sur la nature systémique du risque. Rescana a documenté un volume revendiqué d’environ un milliard d’enregistrements répartis sur près de 40 organisations. Help Net Security a détaillé la mécanique du site d’extorsion et rappelé le refus de Salesforce de céder au chantage. Mitiga a montré, dès novembre 2025, que le modèle se reproduisait avec la compromission de Gainsight, preuve que l’abus de jetons OAuth n’était pas un incident isolé mais une méthode reproductible à grande échelle.

L’impact pour les entreprises européennes et le RGPD

Pour les entreprises européennes, l’onde de choc est d’abord réglementaire. Le RGPD impose la notification d’une violation de données personnelles à l’autorité de contrôle compétente, en France la CNIL, dans un délai de 72 heures, ainsi que l’information des personnes concernées lorsque le risque est élevé. Une exposition de noms, coordonnées et historiques d’achats de clients fortunés franchit aisément ce seuil de risque. Les manquements peuvent exposer à des sanctions allant jusqu’à 4 % du chiffre d’affaires annuel mondial.

L’enjeu dépasse l’amende. La confiance d’une clientèle haut de gamme repose sur la discrétion. Une maison de luxe dont les données clients circulent sur des canaux Telegram criminels subit une atteinte à son capital le plus précieux : son image. Le coût réel se mesure en clients perdus, en frais de remédiation, en surveillance prolongée et en contentieux potentiels. Les précédents européens, du piratage du registre FICOBA à la cyberattaque contre la Commission européenne, montrent que ces incidents s’inscrivent dans une vague de fuites qui submerge le continent.

L’attaque relance aussi le débat sur la responsabilité partagée dans le cloud. Quand un éditeur se déclare non vulnérable, qu’un intégrateur tiers est le point d’entrée et que le client porte la charge réglementaire, la chaîne de responsabilité devient floue. Les directions juridiques européennes scrutent désormais leurs contrats de sous-traitance avec une attention nouvelle, car le RGPD ne dilue pas la responsabilité du responsable de traitement, même lorsque la faille vient d’un fournisseur.

Comparaison : les grandes campagnes d’extorsion SaaS

Pour situer l’ampleur de l’attaque ShinyHunters, il est utile de la comparer à d’autres incidents marquants de l’écosystème SaaS et de l’extorsion de données. Le tableau ci-dessous met en regard plusieurs campagnes récentes selon le vecteur, l’échelle revendiquée et la pertinence pour l’Europe.

Campagne / acteurVecteur principalÉchelle revendiquéeVictimes européennes notablesAnnée
ShinyHunters / SalesforceAbus de jetons OAuth (Salesloft Drift)~1,5 milliard d’enregistrements (revendiqué)LVMH, Dior, Chanel, Air France-KLM2025-2026
Scattered Spider / M&SIngénierie sociale, rançongiciel~300 M£ de pertes estiméesMarks & Spencer (Royaume-Uni)2025
Piratage FICOBAIdentifiants volés d’un agent1,2 million de comptesFrance (registre national)2026
Cyberattaque Commission UECompromission d’infrastructure cloud~340 Go exfiltrésInstitutions européennes2026
Gainsight (SLSH)Abus de jetons OAuthCentaines d’environnements visésClients SaaS internationaux2025

Ce panorama révèle une bascule stratégique. Là où l’extorsion classique passait par le chiffrement et la paralysie, les campagnes les plus récentes misent sur le vol pur de données et l’exploitation des relations de confiance entre applications. ShinyHunters se distingue par l’échelle, par la nature transversale du vecteur OAuth et par le profil prestigieux de ses victimes françaises.

Comment se protéger : sécuriser les intégrations OAuth

La défense contre ce type d’attaque commence par une vérité inconfortable : chaque jeton OAuth accordé est une dette de sécurité. Les organisations doivent d’abord inventorier toutes les intégrations tierces connectées à leurs plateformes critiques, et révoquer celles qui ne sont plus utilisées. Un jeton dormant accordé à un outil oublié reste une porte ouverte, exploitable à tout moment.

  • Principe du moindre privilège : limiter les portées (scopes) accordées à chaque application au strict nécessaire, et éviter les accès en lecture totale des objets.
  • Rotation et expiration des jetons : imposer des durées de vie courtes et une réémission régulière plutôt que des jetons permanents.
  • Surveillance comportementale : détecter les volumes d’export anormaux, même lorsqu’ils proviennent d’une application légitime.
  • Authentification renforcée contre le vishing : former les équipes au hameçonnage vocal, principal vecteur d’accès initial documenté par le FBI.
  • Cartographie de la chaîne d’approvisionnement : évaluer la posture de sécurité des fournisseurs SaaS intermédiaires, pas seulement celle de l’éditeur principal.

Au-delà de l’OAuth, l’hygiène d’authentification générale reste déterminante. L’adoption de méthodes résistantes au phishing, le durcissement des accès administrateurs et la sensibilisation continue des équipes commerciales, premières cibles du vishing, forment un socle indispensable. Pour approfondir, consultez notre dossier sur l’authentification à deux facteurs et notre analyse de la vague d’extorsion en Europe.

Cinq prédictions pour 2026-2027

À partir des dynamiques observées, voici cinq évolutions probables pour les dix-huit prochains mois.

  1. L’OAuth deviendra le champ de bataille n°1 du SaaS. Après Salesloft Drift et Gainsight, d’autres intégrations populaires seront détournées. L’abus de jetons supplantera progressivement le vol de mots de passe comme vecteur d’intrusion cloud.
  2. Les autorités européennes durciront le ton. La CNIL et ses homologues multiplieront les contrôles sur les notifications tardives, et les premières sanctions liées à des fuites via fournisseurs tiers tomberont d’ici 2027.
  3. Le refus de payer se généralisera côté éditeurs. Suivant l’exemple de Salesforce, davantage de plateformes adopteront une politique publique de non-négociation, transférant la pression sur les entreprises clientes.
  4. Les supergroupes criminels se multiplieront. Le modèle Scattered LAPSUS$ Hunters, fondé sur la mutualisation des compétences, inspirera d’autres alliances éphémères et opportunistes.
  5. De nouvelles arrestations toucheront la sphère francophone. Après Sébastien Raoult et les interpellations de juin 2025, la coopération internationale produira d’autres mises en cause d’opérateurs européens.

FAQ : vos questions sur l’attaque ShinyHunters

Qu’est-ce que ShinyHunters exactement ?

ShinyHunters est un groupe cybercriminel à motivation financière, actif depuis 2019, spécialisé dans le vol massif de bases de données et l’extorsion. En 2025, il a été associé au collectif Scattered LAPSUS$ Hunters dans le cadre de la campagne d’extorsion visant les environnements Salesforce.

Salesforce a-t-il été piraté ?

Non, pas au sens d’une faille dans le produit. Selon le Google Threat Intelligence Group, l’attaque n’a impliqué aucune vulnérabilité de la plateforme Salesforce. Les attaquants ont détourné des jetons OAuth légitimes liés à l’intégration tierce Salesloft Drift pour exfiltrer les données.

Quelles entreprises françaises ont été touchées ?

Les filiales de LVMH (dont Dior et Louis Vuitton), Chanel et Air France-KLM figuraient parmi les organisations listées sur le site de fuite du 3 octobre 2025. Les volumes exacts et les champs de données précis n’ont pas été confirmés publiquement par ces entreprises.

Combien de données ont été volées ?

Le groupe revendique environ 1,5 milliard d’enregistrements à travers la campagne Salesforce. Lors du lancement du site de fuite, Rescana évoquait un volume d’environ 1 milliard d’enregistrements provenant de 39 à 40 organisations. Ces chiffres restent des revendications des attaquants.

Mes données personnelles sont-elles concernées ?

Si vous êtes client d’une des marques touchées, vos coordonnées et votre historique d’achats pourraient avoir été exposés. Restez vigilant face aux tentatives de phishing par email ou SMS, ne cliquez sur aucun lien suspect et surveillez vos comptes. Les entreprises concernées doivent informer leurs clients en cas de risque élevé, conformément au RGPD.

Que faire pour protéger mon entreprise ?

Inventoriez toutes vos intégrations OAuth, révoquez les jetons inutilisés, appliquez le principe du moindre privilège, surveillez les exports de données anormaux et formez vos équipes au hameçonnage vocal. La sécurité de votre chaîne d’approvisionnement logicielle doit être évaluée au même titre que vos systèmes internes.

Qui est Sébastien Raoult ?

Sébastien Raoult est un ressortissant français d’Épinal identifié comme membre de ShinyHunters. Arrêté au Maroc en mai 2022 et extradé vers les États-Unis, il a été condamné en janvier 2024 à trois ans de prison et à plus de 5 millions de dollars de dédommagement par un tribunal de Seattle.

Pourquoi cette attaque est-elle importante pour l’Europe ?

Elle touche directement des fleurons français et européens, soulève des questions de conformité RGPD lourdes de conséquences financières, et illustre un changement de paradigme : l’attaque de la chaîne d’approvisionnement logicielle via les jetons OAuth, un risque encore largement sous-estimé par les entreprises du continent.

Sources et ressources externes

Pour approfondir l’analyse technique et juridique de cette affaire, consultez les ressources de référence suivantes : l’analyse du Google Threat Intelligence Group sur le vol via Salesloft Drift, l’enquête de KrebsOnSecurity sur les retombées de la brèche Salesloft, le décompte des 1,5 milliard d’enregistrements revendiqués par ShinyHunters, le compte rendu de Help Net Security sur le site d’extorsion et l’article de The Record sur la condamnation de Sébastien Raoult. Côté français, la CNIL détaille les obligations de notification et l’ANSSI publie ses recommandations de sécurité.