ShinyHunters : 1,5 milliard de fiches Salesforce volées en 2026
Le gang d’extorsion ShinyHunters revendique le vol de 1,5 milliard de fiches de données sur plusieurs centaines d’entreprises clientes de Salesforce, via deux campagnes successives qui ont secoué l’écosystème cloud en 2025-2026 : la compromission de l’intégration Salesloft Drift en août 2025 et la campagne d’extorsion Salesforce Aura qui a culminé en ce mois de juin 2026. ADT, Kodak, Carnival, Council of Europe, Infinite Campus : les victimes confirmées ou revendiquées s’accumulent, et la dernière fuite en date : celle d’Infinite Campus, qui a exposé 137 000 comptes de personnel scolaire : montre que la menace est toujours active en juin 2026. Voici ce qu’il faut savoir sur cette opération d’extorsion massive, ses méthodes, ses victimes, et les réflexes concrets à adopter pour les organisations qui dépendent de Salesforce.
Le chiffre choc : ShinyHunters revendique le vol de 1,5 milliard de fiches Salesforce via les campagnes Salesloft Drift (août 2025) et Salesforce Aura (juin 2025 – juin 2026).
Le vecteur : Vol de jetons OAuth sur des intégrations tierces (Drift, Gainsight) et campagnes de vishing (arnaques vocales) sur les employés pour autoriser des applications connectées malveillantes.
Le mode opératoire : Pas de ransomware : uniquement de l’extorsion par fuite de données : menace de publication, ultimatums, et divulgation progressive sur leur site de leak.
L’ampleur :760 organisations compromises via Drift, plus de 200 via Gainsight, et des victimes de premier plan (ADT, Kodak, Carnival, Council of Europe, Charter, Infinite Campus).
Le réflexe d’or : Auditer toutes les applications connectées Salesforce, révoquer les jetons OAuth hérités, et former les équipes à la détection du vishing ciblant le helpdesk IT.
Qui est ShinyHunters et pourquoi ce gang d’extorsion fait-il trembler Salesforce ?
ShinyHunters est un collectif cybercriminel apparu en 2020 et spécialisé dans le vol et l’extorsion de bases de données d’entreprises. Contrairement à des groupes de ransomware comme LockBit ou BlackCat, ShinyHunters ne chiffre pas les données : il les vole, puis menace de les publier sur un site de leak accessible publiquement si la rançon n’est pas payée. C’est l’essor du modèle « pure extortion », popularisé depuis 2023.
Avant 2025, ShinyHunters s’était déjà illustré contre Snowflake (en 2024, avec des victimes comme AT&T, Ticketmaster, Santander), contre Okta, LastPass et Salesforce elle-même (en 2022). Mais en 2025-2026, le gang a changé d’échelle : au lieu d’attaquer Salesforce frontalement, il a visé les intégrations tierces que les entreprises connectent à leur instance Salesforce : un maillon faible, rarement audité.
Deux opérations ont marqué l’année : la compromission de Salesloft Drift en août 2025, et la campagne Salesforce Aura qui se poursuit en juin 2026 avec des menaces de publication sur Kodak, Council of Europe, et Charter Communications. Au total, ShinyHunters revendique 1,5 milliard de fiches de données Salesforce dérobées chez plus de 760 organisations.
Comment ShinyHunters a-t-il volé 1,5 milliard de fiches Salesforce ? Anatomie de l’attaque
L’attaque repose sur une compréhension fine du fonctionnement de Salesforce : ce ne sont pas les comptes Salesforce qui sont compromis, mais les jetons OAuth des applications tierces : des autorisations d’accès que les entreprises accordent à des outils comme Drift (chatbot), Gainsight (customer success) ou Klue (competitive intelligence). Une fois ces jetons dérobés, l’attaquant peut interroger Salesforce au nom de l’application compromise, avec les mêmes droits qu’un utilisateur légitime.
Vecteur 1 : Vishing Salesforce (juin 2025) : l’arnaque vocale qui piège les employés
En juin 2025, le groupe lié à ShinyHunters (suivi par Google Threat Intelligence Group sous le nom UNC6040) a mené des campagnes de vishing ciblé : un opérateur appelle un employé au téléphone, se fait passer pour le support IT, et lui demande d’autoriser une application connectée malveillante dans son instance Salesforce. L’employé, pensant suivre une procédure de dépannage, saisit le code de vérification et donne accès à ses données. Les tables Account, Contact, Case, Opportunity et User sont ensuite exfiltrées en bloc.
Vecteur 2 : Salesloft Drift (août 2025) : 760 organisations compromises en une rafale
Le 8 août 2025, le cluster suivi par Mandiant sous le nom UNC6395 compromet l’intégration Salesloft Drift et dérobe les refresh tokens OAuth que Drift utilise pour accéder aux instances Salesforce de ses clients. Comme le rapporte BleepingComputer, ces jetons ont ensuite été utilisés pour exfiltrer des données chez 760 organisations clientes de Drift : l’équivalent d’une prise de contrôle à l’échelle industrielle, sans la moindre interaction humaine.
Salesforce et Salesloft ont révoqué les jetons compromis en urgence, mais les attaquants avaient déjà extrait des téraoctets de données. L’incident a été rapproché par les chercheurs de l’attaque contre GitHub en avril 2025, où le même type de jeton avait permis d’exfiltrer le code source de plusieurs grandes entreprises : un schéma qui se répète et qui montre que l’OAuth reste le maillon faible des architectures SaaS modernes.
En novembre 2025, une attaque similaire frappe Gainsight, une autre intégration majeure utilisée par les équipes customer success. Selon Huntress, plus de 200 instances Salesforce potentiellement impactées. Salesforce a révoqué les jetons Gainsight de manière préventive et a publié un avis demandant à ses clients de révoquer manuellement les applications connectées Gainsight non utilisées. Début 2026, c’est Klue (outil de competitive intelligence) qui est visé à son tour via le même procédé de vol de jetons.
Que contiennent les données Salesforce exfiltrées ?
Les attaquants ne récupèrent pas des bases opaques : ils extraient en bloc les cinq tables standard au cœur de tout CRM Salesforce. La table Account contient la liste exhaustive des clients et prospects (raison sociale, secteur, chiffre d’affaires, adresse, contacts décideurs). La table Contact stocke les coordonnées nominatives des interlocuteurs (nom, prénom, e-mail, téléphone, fonction, historique d’échanges). La table Case regroupe tous les tickets de support ouverts, avec leur contenu potentiellement sensible (numéros de contrat, litiges, requêtes RGPD). La table Opportunity documente le pipeline commercial en cours : montants, étapes, probabilités de closing, prévisions de chiffre d’affaires. Enfin, la table User liste les comptes internes des employés ayant accès à l’instance.
Pour une entreprise B2B, c’est l’équivalent d’un livrable commercial complet : un concurrent peut reconstituer votre portefeuille client, vos marges prévisionnelles, votre stratégie de pricing, et identifier nominativement vos décideurs. Pour une organisation publique ou un éditeur SaaS, c’est la liste nominative de tous les utilisateurs finaux. Dans les deux cas, la valeur de revente sur des places de marché clandestines est énorme, et le risque de phishing ultra-ciblé (spear phishing) sur les contacts dérobés devient maximal dans les semaines qui suivent la fuite.
⚠️ Le piège de la chaîne d’approvisionnement logicielle
Ces trois attaques illustrent un problème structurel : vous pouvez avoir sécurisé votre instance Salesforce avec authentification forte, SSO et IP whitelisting : si une intégration tierce comme Drift ou Gainsight se fait compromettre, l’attaquant hérite de tous ses droits. C’est le principe de la supply chain logicielle appliquée aux SaaS : votre sécurité dépend de la sécurité de chaque application que vous avez autorisée.
Quelles sont les victimes confirmées de ShinyHunters en 2025-2026 ?
ShinyHunters a pris pour habitude de revendiquer publiquement chaque victime sur son site de leak, avec un compte à rebours avant publication. Voici les principales victimes confirmées ou revendiquées dans la presse spécialisée entre mi-2025 et juin 2026 :
ADT (avril 2026) : le géant américain de la sécurité domestique confirme le vol de données de 5,5 millions de clients après compromission d’un compte Okta d’employé via vishing (Google TAG).
Carnival Cruise (mai 2026) : la compagnie de croisières confirme une brèche affectant près de 6 millions de personnes, dont des passeports et informations de santé.
Kodak (juin 2026) : le fabricant confirme la fuite de 2,2 millions de fiches après un ultimatum de ShinyHunters expirant le 18 juin 2026.
Council of Europe (juin 2026) : l’organisation internationale enquête sur les revendications de ShinyHunters, qui affirme détenir des bulletins de paie, CV et dossiers internes de 10 000+ employés.
Charter Communications : 42 millions de fiches revendiquées par le groupe (sources : State of Surveillance).
Infinite Campus (mars 2026) : l’éditeur de SIS pour 3 200 districts scolaires américains confirme une brèche Salesforce ayant exposé 137 000 comptes de personnel (noms, e-mails, téléphones, adresses).
Canada Life, Kemper, McGraw-Hill, TransUnion : victimes indirectes confirmées par Have I Been Pwned et State of Surveillance.
La majorité de ces attaques concerne des clients Salesforce utilisant des intégrations tierces compromises, et non Salesforce directement. Le point commun : la fuite porte quasi systématiquement sur des données CRM riches (Account, Contact, Opportunity), c’est-à-dire les données commerciales les plus sensibles d’une entreprise : liste de clients, pipeline, contacts décideurs, historique d’échanges.
Que faire si votre organisation utilise Salesforce ? Les 4 réflexes critiques en 2026
Que vous soyez une PME qui utilise Salesforce pour 50 utilisateurs ou un grand compte avec 5 000 licences, ces quatre réflexes doivent devenir non négociables :
✅ À faire immédiatement
Auditer les applications connectées : dans Setup → App Manager, listez toutes les applications OAuth autorisées. Révoquez celles qui ne sont plus utilisées, en particulier Drift, Gainsight et Klue si elles ne servent plus.
Activer le MFA résistant au phishing pour tous les utilisateurs Salesforce, idéalement avec WebAuthn / clés physiques plutôt que SMS ou TOTP : un vishing réussi ne doit pas suffire à compromettre un compte.
Restreindre les IP autorisées sur les profils sensibles et bloquer les pays d’où vous n’opérez pas (réduction de 90% des tentatives de connexion automatisées).
Surveiller les exports massifs : configurer une alerte Slack/Teams sur tout export de plus de 10 000 lignes depuis Salesforce (Report Builder, Data Loader, API).
❌ À éviter absolument
Autoriser une app connectée à la demande d’un interlocuteur téléphonique non vérifié, même s’il prétend venir du support IT : c’est précisément le scénario du vishing UNC6040.
Laisser des refresh tokens actifs pour des intégrations tierces que vous n’utilisez plus depuis plus de 90 jours : c’est le vecteur principal de Salesloft Drift.
S’appuyer uniquement sur les logs Salesforce sans monitoring des accès depuis les apps connectées : un appel API OAuth passe souvent sous le radar des SIEM traditionnels.
Payer la rançon si vous êtes victime : ShinyHunters publie malgré le paiement dans de nombreux cas documentés, et le FBI déconseille formellement tout versement.
Quelles leçons tirer des attaques ShinyHunters pour l’avenir du SaaS ?
La campagne ShinyHunters marque un tournant dans la sécurité du cloud. Pendant des années, les RSSI se sont concentrés sur la protection des comptes (MFA, mots de passe forts, SSO). Les attaques 2025-2026 montrent que cette approche ne suffit plus : le risque s’est déplacé vers les intégrations, ces milliers de connexions OAuth que les entreprises ont accordées sans toujours les inventorier.
Trois principes émergent pour 2026 et au-delà : 1) l’inventaire continu des applications connectées (au moins une fois par trimestre, pas une fois par an), 2) le principe du moindre privilège OAuth : un refresh token ne doit pas avoir accès à toute l’instance Salesforce, mais uniquement aux tables strictement nécessaires à la fonction de l’intégration, 3) la détection comportementale des appels API anormaux (volume, heure, type d’objet consulté).
Pour les organisations qui dépendent de Salesforce : et elles sont nombreuses, du CAC 40 à la startup SaaS : l’ère de la « confiance aveugle dans les intégrations tierces » est terminée. La sécurité d’une instance Salesforce n’est plus celle de Salesforce, mais celle de chaque application qui s’y connecte. C’est un changement de paradigme que les RSSI intègrent encore trop lentement, et que ShinyHunts exploite avec une efficacité redoutable depuis maintenant 18 mois.
Questions fréquentes sur la campagne ShinyHunters / Salesforce 2025-2026
ShinyHunters a-t-il vraiment accès à 1,5 milliard de fiches Salesforce ? ▼
Il s’agit d’une revendication du groupe, relayée par BleepingComputer, Wikipedia et plusieurs chercheurs en sécurité. Le chiffre de 1,5 milliard correspond à l’addition des exfiltrations via les campagnes Salesloft Drift (août 2025), Gainsight (novembre 2025) et Salesforce Aura (juin 2025 – juin 2026). Salesforce n’a pas publié de décompte officiel, et certaines victimes n’ont pas encore confirmé l’ampleur du vol. À retenir : le chiffre est plausible, mais reste à confirmer victime par victime.
Comment savoir si mon entreprise est touchée par la brèche Salesforce ? ▼
Trois réflexes : 1) vérifiez votre instance Salesforce → Setup → App Manager pour voir si Drift, Gainsight ou Klue ont des refresh tokens actifs inhabituellement, 2) consultez Have I Been Pwned pour tester les e-mails d’employés exposés, 3) contactez Salesforce Enterprise Support (Premier ou Signature Success) pour demander un rapport d’incident. Le CERT-FR (ANSSI) publie également des avis de sécurité qu’il faut surveiller en flux RSS.
Faut-il déconnecter toutes les intégrations tierces Salesforce par précaution ? ▼
Non, pas nécessairement, mais il faut auditer. La plupart des intégrations (Slack, Mailchimp, HubSpot, etc.) sont légitimes et nécessaires. Concentrez-vous sur les applications non utilisées depuis plus de 90 jours, sur celles qui n’ont pas publié de mise à jour de sécurité récente, et sur les applications « gratuites » de fournisseurs inconnus. Pour chaque app gardée, vérifiez que le scope OAuth est limité (pas d’accès « Full » ou « api » si l’app n’en a pas besoin).
Le vishing est-il vraiment efficace contre des entreprises équipées en MFA ? ▼
Oui, et c’est précisément ce qui rend ShinyHunters dangereux. Le vishing contourne le MFA en faisant valider à la victime un code d’autorisation d’application connectée (OAuth) : l’équivalent d’un « se souvenir de moi pendant 30 jours » accordé à une app malveillante. L’attaquant n’a pas besoin du mot de passe ni du code MFA : il obtient un refresh token valable jusqu’à révocation manuelle. C’est pour cela que Salesforce recommande désormais de restreindre les apps autorisées via des policies et de former les équipes support à la détection du vishing.
Quelles sont les sanctions encourues par ShinyHunters en France ? ▼
Le groupe étant majoritairement actif depuis l’étranger, les poursuites directes sont complexes. En France, les victimes d’une fuite de données personnelles ont l’obligation légale de notifier la CNIL dans les 72 heures (règlement RGPD, article 33), et doivent informer les personnes concernées (article 34) si le risque est « élevé ». Les sanctions pour non-notification peuvent atteindre 2% du chiffre d’affaires annuel mondial ou 10 millions d’euros (le montant le plus élevé étant retenu). Le refus de coopérer avec l’ANSSI expose à des sanctions complémentaires.
Alexi Tauzin🛡️ Éditeur & Expert Cyber
Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
