{"id":165,"date":"2026-06-15T08:27:09","date_gmt":"2026-06-15T08:27:09","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/15\/shinyhunters-salesforce-extorsion-2026\/"},"modified":"2026-06-15T08:28:36","modified_gmt":"2026-06-15T08:28:36","slug":"shinyhunters-salesforce-extorsion-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/15\/shinyhunters-salesforce-extorsion-2026\/","title":{"rendered":"ShinyHunters : 1,5 milliard de donn\u00e9es vol\u00e9es [2026]"},"content":{"rendered":"\n

Le 3 octobre 2025, un collectif criminel se pr\u00e9sentant sous le nom de Scattered LAPSUS$ Hunters<\/strong> a mis en ligne un site de fuite mena\u00e7ant de publier les donn\u00e9es vol\u00e9es \u00e0 des dizaines d’entreprises. Au c\u0153ur de l’affaire, un nom d\u00e9j\u00e0 tristement c\u00e9l\u00e8bre : ShinyHunters<\/strong>. Le groupe revendique le vol d’environ 1,5 milliard d’enregistrements issus d’instances Salesforce, et la liste des victimes se lit comme un annuaire du luxe et des grands comptes fran\u00e7ais : LVMH, Dior, Louis Vuitton, Chanel et Air France-KLM y figurent. Huit mois plus tard, en juin 2026, les retomb\u00e9es juridiques et r\u00e9putationnelles continuent de s’\u00e9tendre en Europe, et l’attaque sert d\u00e9sormais de cas d’\u00e9cole sur les risques li\u00e9s aux int\u00e9grations applicatives.<\/p>\n\n\n\n

Cette campagne ne ressemble \u00e0 aucune des grandes intrusions classiques. Aucune faille dans le logiciel Salesforce n’a \u00e9t\u00e9 exploit\u00e9e. Les attaquants ont d\u00e9tourn\u00e9 des jetons d’authentification OAuth<\/strong> l\u00e9gitimes pour aspirer, en silence, des bases de donn\u00e9es clients enti\u00e8res. Voici l’analyse compl\u00e8te de l’attaque ShinyHunters, de son fonctionnement technique \u00e0 son impact sur les entreprises europ\u00e9ennes et le RGPD.<\/p>\n\n\n\n

ShinyHunters revendique 1,5 milliard d’enregistrements Salesforce vol\u00e9s<\/h2>\n\n\n\n

Le chiffre donne le vertige. Selon les revendications du groupe, relay\u00e9es par BankInfoSecurity et le m\u00e9dia InCyber, ShinyHunters affirme avoir d\u00e9rob\u00e9 pr\u00e8s de 1,5 milliard d’enregistrements<\/strong> \u00e0 travers la campagne visant les environnements Salesforce. Lors du lancement du site de fuite, la soci\u00e9t\u00e9 de renseignement Rescana \u00e9voquait de son c\u00f4t\u00e9 un volume revendiqu\u00e9 d’environ 1 milliard d’enregistrements<\/strong>, provenant de 39 \u00e0 40 organisations distinctes. Ces totaux restent des all\u00e9gations \u00e9manant des attaquants eux-m\u00eames, mais ils donnent la mesure de l’ambition de l’op\u00e9ration.<\/p>\n\n\n\n

La temporalit\u00e9 est d\u00e9sormais bien document\u00e9e. D’apr\u00e8s le Google Threat Intelligence Group (GTIG), l’activit\u00e9 de vol li\u00e9e \u00e0 l’int\u00e9gration Salesloft Drift a d\u00e9marr\u00e9 d\u00e8s le 8 ao\u00fbt 2025<\/strong> et s’est poursuivie jusqu’au 18 ao\u00fbt au moins. Le 12 septembre 2025, le centre IC3 du FBI publiait une alerte officielle visant deux clusters d’activit\u00e9, baptis\u00e9s UNC6040<\/strong> et UNC6395<\/strong>, pour leurs intrusions par ing\u00e9nierie sociale et vol de donn\u00e9es \u00e0 des fins d’extorsion. Le 22 septembre, la revendication des 1,5 milliard d’enregistrements faisait surface dans la presse sp\u00e9cialis\u00e9e. Puis, le 3 octobre, le site d’extorsion entrait en sc\u00e8ne.<\/p>\n\n\n\n

Le p\u00e9rim\u00e8tre d\u00e9passe largement les fronti\u00e8res fran\u00e7aises. Google a reconnu que sa propre instance Salesforce d’entreprise avait \u00e9t\u00e9 compromise dans le cadre de la campagne 2025. Cloudflare figure \u00e9galement parmi les organisations touch\u00e9es, aux c\u00f4t\u00e9s d’Allianz Life, d’Adidas et de la compagnie a\u00e9rienne Qantas. La diversit\u00e9 des secteurs concern\u00e9s, du luxe \u00e0 l’a\u00e9rien en passant par la cybers\u00e9curit\u00e9 elle-m\u00eame, illustre la port\u00e9e d’une attaque qui visait non pas un produit, mais un mode de connexion partag\u00e9 par des milliers d’entreprises.<\/p>\n\n\n\n

Comment l’attaque a fonctionn\u00e9 : l’abus des jetons OAuth de Salesloft Drift<\/h2>\n\n\n\n

Pour comprendre cette affaire, il faut oublier l’image du pirate qui force une porte. Ici, les attaquants disposaient d\u00e9j\u00e0 de la cl\u00e9. La campagne repose sur le d\u00e9tournement de jetons OAuth, ces autorisations num\u00e9riques qui permettent \u00e0 deux applications de communiquer sans \u00e9changer de mot de passe \u00e0 chaque requ\u00eate. Lorsqu’une entreprise connecte un outil tiers \u00e0 son Salesforce, elle accorde \u00e0 cet outil un jeton qui agit comme un laissez-passer permanent.<\/p>\n\n\n\n

Le maillon compromis fut Salesloft Drift<\/strong>, un agent conversationnel commercial int\u00e9gr\u00e9 \u00e0 de nombreuses plateformes Salesforce. En s’emparant des jetons OAuth associ\u00e9s \u00e0 cette int\u00e9gration, les attaquants ont pu interroger directement les instances Salesforce des clients de Drift, exporter des objets entiers (comptes, contacts, opportunit\u00e9s, tickets de support) et le faire avec les privil\u00e8ges d’une application de confiance. Aucune alerte de connexion suspecte, aucun mot de passe \u00e0 deviner. Le trafic ressemblait \u00e0 une synchronisation routini\u00e8re.<\/p>\n\n\n\n

Le Google Threat Intelligence Group a \u00e9t\u00e9 cat\u00e9gorique sur un point essentiel : l’incident n’a impliqu\u00e9 aucune vuln\u00e9rabilit\u00e9 du produit Salesforce<\/strong> lui-m\u00eame. Les jetons vol\u00e9s ont servi \u00e0 siphonner les donn\u00e9es, mais la plateforme n’a pas \u00e9t\u00e9 pirat\u00e9e au sens technique. KrebsOnSecurity a par ailleurs averti que la br\u00e8che d\u00e9passait le seul p\u00e9rim\u00e8tre Salesforce : les pirates auraient \u00e9galement vol\u00e9 des jetons d’authentification valides pour d’autres services connect\u00e9s, transformant une compromission unique en une cha\u00eene de portes d\u00e9rob\u00e9es.<\/p>\n\n\n\n

Le maillon faible : la cha\u00eene d’approvisionnement logicielle<\/h3>\n\n\n\n

Cette attaque est avant tout une attaque de la cha\u00eene d’approvisionnement logicielle<\/strong> (supply chain). En compromettant un fournisseur interm\u00e9diaire, Salesloft, les attaquants ont atteint en cascade des centaines de clients finaux. Le mod\u00e8le rappelle d’autres incidents r\u00e9cents touchant l’\u00e9cosyst\u00e8me SaaS, o\u00f9 la confiance accord\u00e9e \u00e0 un connecteur devient le vecteur d’une compromission de masse. Pour les responsables s\u00e9curit\u00e9, la le\u00e7on est brutale : la surface d’attaque d’une entreprise inclut d\u00e9sormais chaque application tierce \u00e0 laquelle elle a accord\u00e9 un jeton, qu’elle l’utilise encore activement ou non.<\/p>\n\n\n\n

Les victimes fran\u00e7aises : LVMH, Dior, Louis Vuitton, Chanel et Air France-KLM<\/h2>\n\n\n\n

La dimension fran\u00e7aise de cette affaire est frappante. Lors de la mise en ligne du site de fuite le 3 octobre 2025, plusieurs fleurons de l’\u00e9conomie hexagonale figuraient parmi les victimes list\u00e9es. Les filiales du groupe LVMH<\/strong>, dont Dior<\/strong> et Louis Vuitton<\/strong>, ont \u00e9t\u00e9 nomm\u00e9es. Chanel<\/strong> apparaissait \u00e9galement, son centre de relation client ayant \u00e9t\u00e9 affect\u00e9 dans le cadre plus large de la campagne Salesforce. Enfin, Air France et KLM<\/strong> faisaient partie des entreprises list\u00e9es sur le portail d’extorsion.<\/p>\n\n\n\n

Sur la nature des donn\u00e9es, la prudence reste de mise. Pour les maisons de luxe, les rapports \u00e9voquent l’exposition de donn\u00e9es personnelles clients et d’informations de ventes<\/strong> : noms, coordonn\u00e9es, historiques d’achats. Ces \u00e9l\u00e9ments, sans contenir de donn\u00e9es bancaires compl\u00e8tes, constituent une mati\u00e8re premi\u00e8re pr\u00e9cieuse pour le phishing cibl\u00e9 et l’usurpation d’identit\u00e9. Une client\u00e8le fortun\u00e9e, identifi\u00e9e par ses achats de produits de luxe, devient une cible de choix pour des campagnes de fraude sur mesure.<\/p>\n\n\n\n

Les volumes exacts par marque et la liste pr\u00e9cise des champs expos\u00e9s n’ont pas \u00e9t\u00e9 confirm\u00e9s publiquement par les entreprises concern\u00e9es dans les sources disponibles. De m\u00eame, l’existence de notifications formelles \u00e0 la CNIL<\/strong> pour chacune de ces victimes n’est pas document\u00e9e publiquement. Le RGPD impose pourtant une notification \u00e0 l’autorit\u00e9 de contr\u00f4le dans les 72 heures suivant la prise de connaissance d’une violation de donn\u00e9es personnelles pr\u00e9sentant un risque pour les personnes. Cette zone d’ombre est, en soi, un sujet d’analyse.<\/p>\n\n\n\n

Chronologie et victimes : les faits cl\u00e9s de la campagne<\/h2>\n\n\n\n
Date<\/th>\u00c9v\u00e9nement<\/th>D\u00e9tail v\u00e9rifi\u00e9<\/th><\/tr><\/thead>
8-18 ao\u00fbt 2025<\/td>D\u00e9but du vol de donn\u00e9es<\/td>D\u00e9tournement des jetons Salesloft Drift (source : Google GTIG)<\/td><\/tr>
12 septembre 2025<\/td>Alerte FBI IC3<\/td>Mise en garde sur les clusters UNC6040 et UNC6395<\/td><\/tr>
22 septembre 2025<\/td>Revendication du volume<\/td>1,5 milliard d’enregistrements revendiqu\u00e9s (presse sp\u00e9cialis\u00e9e)<\/td><\/tr>
3 octobre 2025<\/td>Lancement du site de fuite<\/td>39 organisations list\u00e9es, ultimatum fix\u00e9 au 10 octobre<\/td><\/tr>
8 octobre 2025<\/td>R\u00e9ponse de Salesforce<\/td>Refus public de n\u00e9gocier ou de payer une ran\u00e7on<\/td><\/tr>
Novembre 2025<\/td>Nouvelle revendication<\/td>Compromission de Gainsight via abus de jetons OAuth (source : Mitiga)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Cette chronologie montre une op\u00e9ration m\u00e9thodique, \u00e9tal\u00e9e sur plusieurs mois, o\u00f9 la phase de vol silencieux pr\u00e9c\u00e8de de loin la phase d’extorsion publique. Entre le premier acc\u00e8s en ao\u00fbt et la mise en ligne du site en octobre, les attaquants ont dispos\u00e9 de semaines pour exfiltrer et trier leur butin avant de passer \u00e0 la pression m\u00e9diatique.<\/p>\n\n\n\n

Le site de fuite et la m\u00e9canique de l’extorsion<\/h2>\n\n\n\n

Le site mis en ligne le 3 octobre 2025 ob\u00e9it \u00e0 une logique d\u00e9sormais classique de la double extorsion<\/strong>, adapt\u00e9e ici au vol de donn\u00e9es pur. Selon Help Net Security, le portail listait 39 entreprises, chaque entr\u00e9e pr\u00e9cisant la date, le type et la quantit\u00e9 de donn\u00e9es d\u00e9rob\u00e9es. Picus Security a confirm\u00e9 que le collectif fixait un ultimatum au 10 octobre : payer, ou voir les donn\u00e9es publi\u00e9es. Cette mise en sc\u00e8ne vise autant les victimes individuelles que Salesforce, d\u00e9sign\u00e9 comme cible collective afin de maximiser la pression.<\/p>\n\n\n\n

La communication des attaquants rel\u00e8ve de la guerre informationnelle. Le collectif a anim\u00e9 une cha\u00eene Telegram baptis\u00e9e \u00ab Scattered LAPSUS$ Hunters 4.0 \u00bb, qui aurait rassembl\u00e9 pr\u00e8s de 40 000 abonn\u00e9s<\/strong> selon les observations rapport\u00e9es par GTIG et KrebsOnSecurity. Cette visibilit\u00e9 publique, m\u00ealant bravade et menaces, contraste avec la discr\u00e9tion habituelle des groupes de ran\u00e7ongiciel et complique le travail des enqu\u00eateurs comme celui des communicants d’entreprise.<\/p>\n\n\n\n

L’extorsion sans chiffrement marque une \u00e9volution. Les attaquants ne paralysent pas les syst\u00e8mes, ils volent et menacent de divulguer. Pour une maison de luxe, la menace n’est pas l’arr\u00eat de production mais la publication des habitudes d’achat de sa client\u00e8le la plus exclusive, un sc\u00e9nario r\u00e9putationnel potentiellement plus d\u00e9vastateur qu’une panne technique.<\/p>\n\n\n\n

Salesforce refuse de payer : la position de l’\u00e9diteur<\/h2>\n\n\n\n

Face \u00e0 l’ultimatum, Salesforce a adopt\u00e9 une ligne ferme. L’\u00e9diteur a d\u00e9clar\u00e9 publiquement, le 8 octobre 2025, qu’il ne n\u00e9gocierait pas et ne paierait aucune ran\u00e7on<\/strong>. Cette position, salu\u00e9e par une partie de la communaut\u00e9 s\u00e9curit\u00e9, s’appuie sur un argument de fond : Salesforce consid\u00e8re que sa plateforme n’a pas \u00e9t\u00e9 vuln\u00e9rable et que les compromissions r\u00e9sultent d’int\u00e9grations tierces et de configurations clients. L’\u00e9diteur a renvoy\u00e9 la responsabilit\u00e9 du durcissement vers les pratiques de gestion des jetons OAuth et des connexions applicatives.<\/p>\n\n\n\n

Ce refus de payer s’inscrit dans une tendance de fond encourag\u00e9e par les autorit\u00e9s. Payer une ran\u00e7on ne garantit ni la suppression des donn\u00e9es ni l’absence de r\u00e9cidive, et finance directement l’\u00e9cosyst\u00e8me criminel. Mais cette posture transf\u00e8re le risque vers les entreprises clientes, qui se retrouvent en premi\u00e8re ligne pour g\u00e9rer la notification r\u00e9glementaire, l’information de leurs clients et l’\u00e9ventuelle publication de leurs donn\u00e9es.<\/p>\n\n\n\n

Qui se cache derri\u00e8re ShinyHunters ?<\/h2>\n\n\n\n

ShinyHunters n’est pas un nouveau venu. Actif depuis 2019, ce groupe \u00e0 motivation financi\u00e8re s’est sp\u00e9cialis\u00e9 dans le vol de donn\u00e9es SaaS, les intrusions amorc\u00e9es par hame\u00e7onnage vocal (vishing) et l’extorsion, comme le documente le profil dress\u00e9 par Huntress. Son nom est associ\u00e9 \u00e0 une longue s\u00e9rie de fuites massives ayant touch\u00e9 des dizaines d’entreprises depuis le d\u00e9but de la d\u00e9cennie. Le groupe a fait du vol de bases de donn\u00e9es et de leur monnayage par chantage un mod\u00e8le \u00e9conomique rod\u00e9.<\/p>\n\n\n\n

S\u00e9bastien Raoult, le Fran\u00e7ais d’\u00c9pinal condamn\u00e9<\/h3>\n\n\n\n

L’affaire comporte un fil rouge fran\u00e7ais peu connu du grand public. S\u00e9bastien Raoult<\/strong>, ressortissant fran\u00e7ais originaire d’\u00c9pinal et connu sous le pseudonyme \u00ab Sezyo Kaizen \u00bb, a \u00e9t\u00e9 identifi\u00e9 comme membre de ShinyHunters. Arr\u00eat\u00e9 le 31 mai 2022<\/strong> \u00e0 l’a\u00e9roport de Rabat-Sal\u00e9 au Maroc alors qu’il s’appr\u00eatait \u00e0 rejoindre Bruxelles, il a \u00e9t\u00e9 extrad\u00e9 vers les \u00c9tats-Unis en janvier 2023.<\/p>\n\n\n\n

Devant un tribunal f\u00e9d\u00e9ral de Seattle, Raoult a plaid\u00e9 coupable de complot en vue de fraude \u00e9lectronique et d’usurpation d’identit\u00e9 aggrav\u00e9e. En janvier 2024, il a \u00e9t\u00e9 condamn\u00e9 \u00e0 trois ans de prison<\/strong> et au versement de plus de 5 millions de dollars<\/strong> de d\u00e9dommagement, selon The Record et SecurityAffairs. Plus r\u00e9cemment, quatre interpellations li\u00e9es \u00e0 la mouvance ShinyHunters ont eu lieu en France en juin 2025, signe que les autorit\u00e9s hexagonales surveillent de pr\u00e8s ces r\u00e9seaux. Ce volet judiciaire rappelle que derri\u00e8re les pseudonymes anonymes se cachent des individus, parfois tr\u00e8s jeunes, et que la coop\u00e9ration internationale finit par porter ses fruits.<\/p>\n\n\n\n

La fusion du chaos : Scattered Spider, LAPSUS$ et ShinyHunters<\/h2>\n\n\n\n

La marque \u00ab Scattered LAPSUS$ Hunters \u00bb n’est pas anodine. Elle traduit la convergence de trois mouvances criminelles parmi les plus virulentes de ces derni\u00e8res ann\u00e9es : Scattered Spider<\/strong>, r\u00e9put\u00e9 pour son ing\u00e9nierie sociale redoutable, LAPSUS$<\/strong>, connu pour ses coups d’\u00e9clat m\u00e9diatiques, et ShinyHunters<\/strong>, expert du vol de bases de donn\u00e9es. Les chercheurs d’Obsidian Security ont d\u00e9crit cette association comme une potentielle fusion, fond\u00e9e sur des tactiques communes, des dizaines de victimes partag\u00e9es et une activit\u00e9 Telegram chaotique.<\/p>\n\n\n\n

Picus Security a qualifi\u00e9 ce collectif de \u00ab supergroupe cybercriminel le plus dangereux de 2025 \u00bb. La combinaison est en effet inqui\u00e9tante : l’acc\u00e8s initial par vishing de Scattered Spider, la th\u00e9\u00e2tralisation de LAPSUS$ et l’expertise d’exfiltration de ShinyHunters. Cette mutualisation des comp\u00e9tences abaisse le co\u00fbt d’entr\u00e9e de chaque op\u00e9ration et augmente le taux de r\u00e9ussite. Pour les d\u00e9fenseurs europ\u00e9ens, d\u00e9j\u00e0 confront\u00e9s \u00e0 la pression de Scattered Spider chez Marks & Spencer<\/a>, cette agr\u00e9gation de talents criminels constitue une menace d’un nouveau genre.<\/p>\n\n\n\n

Ce que disent les experts<\/h2>\n\n\n\n

L’attribution de cette campagne a fait l’objet d’un d\u00e9bat \u00e9clairant. Austin Larsen<\/strong>, analyste au Google Threat Intelligence Group, a fait preuve d’une prudence notable. Il a indiqu\u00e9 qu’il n’existait, \u00e0 ce stade de l’enqu\u00eate, \u00ab aucune preuve convaincante \u00bb permettant d’attribuer formellement l’activit\u00e9 li\u00e9e \u00e0 Salesloft Drift \u00e0 ShinyHunters ou \u00e0 un autre groupe connu. Cette r\u00e9serve tranche avec l’assurance des extorqueurs, qui revendiquaient haut et fort la paternit\u00e9 de l’attaque. Dans le renseignement sur les menaces, la revendication d’un groupe ne vaut pas preuve.<\/p>\n\n\n\n

Les autorit\u00e9s, elles, ont privil\u00e9gi\u00e9 une approche par clusters techniques. Le FBI, via son centre IC3, a structur\u00e9 son alerte autour des identifiants UNC6040<\/strong> et UNC6395<\/strong> plut\u00f4t que des marques m\u00e9diatiques, soulignant le r\u00f4le central de l’ing\u00e9nierie sociale et du vishing dans l’acc\u00e8s initial. Cette m\u00e9thode permet de suivre des comportements observables sans se laisser pi\u00e9ger par les rebapt\u00eames incessants des groupes criminels.<\/p>\n\n\n\n

Les analystes du secteur convergent toutefois sur la nature syst\u00e9mique du risque. Rescana a document\u00e9 un volume revendiqu\u00e9 d’environ un milliard d’enregistrements r\u00e9partis sur pr\u00e8s de 40 organisations. Help Net Security a d\u00e9taill\u00e9 la m\u00e9canique du site d’extorsion et rappel\u00e9 le refus de Salesforce de c\u00e9der au chantage. Mitiga a montr\u00e9, d\u00e8s novembre 2025, que le mod\u00e8le se reproduisait avec la compromission de Gainsight, preuve que l’abus de jetons OAuth n’\u00e9tait pas un incident isol\u00e9 mais une m\u00e9thode reproductible \u00e0 grande \u00e9chelle.<\/p>\n\n\n\n

L’impact pour les entreprises europ\u00e9ennes et le RGPD<\/h2>\n\n\n\n

Pour les entreprises europ\u00e9ennes, l’onde de choc est d’abord r\u00e9glementaire. Le RGPD impose la notification d’une violation de donn\u00e9es personnelles \u00e0 l’autorit\u00e9 de contr\u00f4le comp\u00e9tente, en France la CNIL, dans un d\u00e9lai de 72 heures, ainsi que l’information des personnes concern\u00e9es lorsque le risque est \u00e9lev\u00e9. Une exposition de noms, coordonn\u00e9es et historiques d’achats de clients fortun\u00e9s franchit ais\u00e9ment ce seuil de risque. Les manquements peuvent exposer \u00e0 des sanctions allant jusqu’\u00e0 4 % du chiffre d’affaires annuel mondial.<\/p>\n\n\n\n

L’enjeu d\u00e9passe l’amende. La confiance d’une client\u00e8le haut de gamme repose sur la discr\u00e9tion. Une maison de luxe dont les donn\u00e9es clients circulent sur des canaux Telegram criminels subit une atteinte \u00e0 son capital le plus pr\u00e9cieux : son image. Le co\u00fbt r\u00e9el se mesure en clients perdus, en frais de rem\u00e9diation, en surveillance prolong\u00e9e et en contentieux potentiels. Les pr\u00e9c\u00e9dents europ\u00e9ens, du piratage du registre FICOBA<\/a> \u00e0 la cyberattaque contre la Commission europ\u00e9enne<\/a>, montrent que ces incidents s’inscrivent dans une vague de fuites qui submerge le continent.<\/p>\n\n\n\n

L’attaque relance aussi le d\u00e9bat sur la responsabilit\u00e9 partag\u00e9e dans le cloud. Quand un \u00e9diteur se d\u00e9clare non vuln\u00e9rable, qu’un int\u00e9grateur tiers est le point d’entr\u00e9e et que le client porte la charge r\u00e9glementaire, la cha\u00eene de responsabilit\u00e9 devient floue. Les directions juridiques europ\u00e9ennes scrutent d\u00e9sormais leurs contrats de sous-traitance avec une attention nouvelle, car le RGPD ne dilue pas la responsabilit\u00e9 du responsable de traitement, m\u00eame lorsque la faille vient d’un fournisseur.<\/p>\n\n\n\n

Comparaison : les grandes campagnes d’extorsion SaaS<\/h2>\n\n\n\n

Pour situer l’ampleur de l’attaque ShinyHunters, il est utile de la comparer \u00e0 d’autres incidents marquants de l’\u00e9cosyst\u00e8me SaaS et de l’extorsion de donn\u00e9es. Le tableau ci-dessous met en regard plusieurs campagnes r\u00e9centes selon le vecteur, l’\u00e9chelle revendiqu\u00e9e et la pertinence pour l’Europe.<\/p>\n\n\n\n

Campagne \/ acteur<\/th>Vecteur principal<\/th>\u00c9chelle revendiqu\u00e9e<\/th>Victimes europ\u00e9ennes notables<\/th>Ann\u00e9e<\/th><\/tr><\/thead>
ShinyHunters \/ Salesforce<\/td>Abus de jetons OAuth (Salesloft Drift)<\/td>~1,5 milliard d’enregistrements (revendiqu\u00e9)<\/td>LVMH, Dior, Chanel, Air France-KLM<\/td>2025-2026<\/td><\/tr>
Scattered Spider \/ M&S<\/td>Ing\u00e9nierie sociale, ran\u00e7ongiciel<\/td>~300 M\u00a3 de pertes estim\u00e9es<\/td>Marks & Spencer (Royaume-Uni)<\/td>2025<\/td><\/tr>
Piratage FICOBA<\/td>Identifiants vol\u00e9s d’un agent<\/td>1,2 million de comptes<\/td>France (registre national)<\/td>2026<\/td><\/tr>
Cyberattaque Commission UE<\/td>Compromission d’infrastructure cloud<\/td>~340 Go exfiltr\u00e9s<\/td>Institutions europ\u00e9ennes<\/td>2026<\/td><\/tr>
Gainsight (SLSH)<\/td>Abus de jetons OAuth<\/td>Centaines d’environnements vis\u00e9s<\/td>Clients SaaS internationaux<\/td>2025<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Ce panorama r\u00e9v\u00e8le une bascule strat\u00e9gique. L\u00e0 o\u00f9 l’extorsion classique passait par le chiffrement et la paralysie, les campagnes les plus r\u00e9centes misent sur le vol pur de donn\u00e9es et l’exploitation des relations de confiance entre applications. ShinyHunters se distingue par l’\u00e9chelle, par la nature transversale du vecteur OAuth et par le profil prestigieux de ses victimes fran\u00e7aises.<\/p>\n\n\n\n

Comment se prot\u00e9ger : s\u00e9curiser les int\u00e9grations OAuth<\/h2>\n\n\n\n

La d\u00e9fense contre ce type d’attaque commence par une v\u00e9rit\u00e9 inconfortable : chaque jeton OAuth accord\u00e9 est une dette de s\u00e9curit\u00e9. Les organisations doivent d’abord inventorier toutes les int\u00e9grations tierces<\/strong> connect\u00e9es \u00e0 leurs plateformes critiques, et r\u00e9voquer celles qui ne sont plus utilis\u00e9es. Un jeton dormant accord\u00e9 \u00e0 un outil oubli\u00e9 reste une porte ouverte, exploitable \u00e0 tout moment.<\/p>\n\n\n\n