Un message d’extorsion attribué à ShinyHunters cible Salesforce, menace une fuite massive de PII et cite Air France/KLM parmi des dizaines d’entreprises touchées. Que révèle vraiment cette revendication ? ZATAZ vous montre l’envers du décors !
Le Service de Veille ZATAZ vient d’analyser une revendication structurée publiée au nom de ShinyHunters visant Salesforce, avec une échéance fixée au 10 octobre 2025. Le groupe affirme avoir exfiltré près d’un milliard d’enregistrements contenant des données personnelles sensibles et évoque des impacts juridiques transfrontaliers. Air France/KLM est citée parmi les victimes présumées, avec un échantillon chiffré des volumes. La note insiste sur l’absence de 2FA et de contrôles OAuth, promet d’alimenter des cabinets d’avocats et d’informer régulateurs et tribunaux. ZATAZ vous propose d’examiner cette revendication qui dure depuis le début de l’été 2025.
Une revendication calibrée pour l’extorsion
Souvenez-vous, juin 2025, ZATAZ vous apprenait que d’étranges documents (captures écrans de CRM et autres extraits de fuite de donné) affichant, par exemple, des marques de luxe étaient apparus dans des espaces surveillés par le Service de Veille de ZATAZ. Quelques mois plus tard, un certain nombre de communiqué de presse de nombreuses entreprises (mais pas toutes, NDR), les pirates font leur retour aprés avoir été banni de Telegram. Les voici dans le darkweb, via le protocole TOR.
Le texte s’ouvre sur une notification « formelle » adressée à Salesforce. Le ton est froid, procédural, conforme aux standards de l’extorsion par exposition de données. La promesse est simple : la fuite de PII à très grande échelle si l’entreprise ne se conforme pas aux exigences des pirates. Le chiffre avancé, « près d’un milliard d’enregistrements », impose d’emblée une impression d’ampleur systémique. La formulation insiste sur la nature des données, qualifiées de « soumises à de nombreuses réglementations de confidentialité », ce qui structure l’argumentaire juridique. L’effet recherché est de rappeler l’exposition simultanée à plusieurs régimes de conformité, du RGPD à des cadres américains comme CCPA et HIPAA. Souvenez-vous quand en 2015 je vous expliquait avoir rencontré un pirate qui se félicitait du RGPD : « Si l’entreprise ne me paie pas, la justice se chargera de lui faire payer ses erreurs !« . J’avais baptisé ces propos par « Le double effet RGPD ». Je ne pensais pas avoir tant raison 10 ans plus tard.
L’attaque revendiquée par un pirate signant sous le pseudonyme de ShinyHunters (SH n’est pas une personne, mais un groupe informel. Un peu comme ceux qui signaient Anonymous dans les années 2000). Elle s’inscrirait, selon le message, depuis « mi-2024 ». La temporalité est importante : elle suggère une présence persistante plutôt qu’un incident ponctuel. Voilà qui confirme les informations de ZATAZ concernant plus autres entreprises comme par exemple Victoria Secrets. Le document insiste sur la « valeur stratégique » de certains enregistrements, angle destiné à faire craindre un préjudice concurrentiel au-delà du seul volet réglementaire. Autre levier rhétorique, la mention de plus de cent « instances » supplémentaires compromises, non nommées, que le groupe dit avoir « dumpées » en raison de l’absence d’authentification à deux facteurs et de contrôles OAuth. L’objectif est de projeter une faiblesse structurelle, non un événement isolé. ZATAZ a pu constater 39 cas !
La revendication décrit une fuite progressive en cas de non-paiement. L’échéance est fixée au 10/10/2025. À défaut d’accord, ShinyHunters promet de publier les données, de coopérer avec des cabinets d’avocats, et de fournir listes détaillées et échantillons. La menace est élargie à une mise en cause publique des pratiques de sécurité, pointant l’absence alléguée de « mesures préventives » et citant, à l’appui, une prise de contact depuis une adresse tuta en juillet 2025. Ce détail vise à pré-positionner un narratif de « négligence criminelle » en cas d’inaction, tout en préparant un discours technique sur l’empreinte réseau des attaques et sur des schémas de trafic prétendument détectables.
Le message prétend que le groupe « a toujours accès » aux systèmes et lie explicitement le renoncement à de futures pressions sur les clients de Salesforce au paiement de la rançon. Ce point encadre une extinction des « négociations » individuelles, ce qui place Salesforce entre la protection de sa base client et un paiement présenté comme « mutuellement bénéfique ». La mécanique est familière : pas de chiffrement des systèmes, mais un chantage à la divulgation de données exfiltrées, avec promesse d’escalade juridique et médiatique. L’ensemble correspond aux tactiques d’extorsion par « data theft » attribuées à ShinyHunters dans d’autres séquences rapportées, sans que cela, ici, ne constitue une preuve technique indépendante.
Air France/KLM en exemple, volumes et risques
Parmi les organisations listées, Air France/KLM est utilisée comme cas d’école. Le message fournit des volumes par fichiers au format JSONL, ce qui ancre la revendication dans un apparat technique minimal : plus de douze millions d’enregistrements pour des comptes, un volume comparable pour des contacts, plus de sept millions pour des journaux de messages e-mail, près de quatre millions pour des données d’information de vols, plus de deux millions et demi pour des données de visiteurs de live-chat, quelques dizaines de milliers d’utilisateurs et une courte table de référence. L’objectif est d’étayer la vraisemblance et de donner une granularité qui, pour un lecteur profane, peut produire l’effet de preuve.
Le contenu revendiqué pour Air France/KLM couvre des identités complètes, des coordonnées, des adresses, des numéros de fidélité, des pays de résidence, des informations d’employés, des données de vols, des e-mails internes et des échanges de support. Si la compromission était avérée, la surface d’exposition pour les passagers serait immédiate. Le phishing ciblé deviendrait trivial, alimenté par des données contextuelles très crédibles : itinéraires, numéros de programme de fidélité, détails de contact. La fraude au remboursement, l’usurpation d’identité et l’ingénierie sociale envers des agents de support seraient favorisées par des journaux de messagerie et des conversations de chat. Du côté de l’entreprise, l’effet réputationnel serait critique, avec un volet réglementaire marqué, RGPD en tête pour les résidents européens, mais aussi d’autres régimes selon les juridictions évoquées par le message.
La mention d’« e-mails internes » et de « journaux » montre une volonté d’exploiter non seulement des PII mais aussi des métadonnées opérationnelles. Dans un écosystème Salesforce, ces données peuvent documenter des workflows, des intégrations et des rôles applicatifs, informations utiles pour un adversaire cherchant à rebondir latéralement. La revendication, en mettant en scène des « instances » multiples, suggère un vecteur transversal : mauvaises pratiques d’authentification, applications OAuth permissives, ou combinaison des deux. Là encore, il s’agit d’allégations ; seule la mise à disposition d’échantillons vérifiables et leur validation indépendante pourraient confirmer une compromission.
La liste plus large d’entreprises citée par le message, de géants du retail et du divertissement à des industriels et transporteurs, dessine une cible à haute valeur et à forte visibilité. Ce catalogue produit un effet de halo : si Salesforce est touché, tous ses clients majeurs pourraient l’être. Le raisonnement cherche à transformer un incident en crise systémique. Le recours à des noms connus sert davantage la pression que la preuve ; l’absence d’artefacts techniques partagés, en dehors des libellés de fichiers et de volumes, reste notable.
Droit, doctrine et renseignement : un récit de contrainte
Le cœur juridique du message mobilise des références précises. L’article 32 du RGPD est cité, section 2, au sujet des mesures de sécurité et de l’adéquation face aux risques. Le groupe élargit ensuite à CCPA et HIPAA, pour ancrer la menace dans des territoires et régimes de sanctions diversifiés. La note promet de transmettre un « document complet » aux autorités judiciaires du Northern District of California, ainsi qu’aux médias et cabinets de contentieux civil et commercial. Cette promesse vise deux cibles : l’entreprise attaquée, pour provoquer une réaction rapide sous pression de conformité, et l’écosystème juridique et médiatique, pour crédibiliser la posture par anticipation.
L’évocation d’une « négligence criminelle » est centrale. Elle dresse un cadre moral et pénal, au-delà des pénalités administratives. Le groupe raconte avoir prévenu l’entreprise par e-mail en juillet 2025, ce qui, s’il était prouvé, renforcerait un grief d’inaction. La revendication insiste sur la « simple » nature des attaques et sur la visibilité supposée des empreintes réseau. Ce vocabulaire construit un arc narratif : avertissement, fenêtre d’opportunité, absence d’action suffisante, dommage évitable. C’est un récit calibré pour mettre en difficulté la défense publique de la cible, en inversant la charge : si tout était détectable, alors ne pas l’avoir empêché deviendrait fautif.
Le texte inclut aussi un passage inhabituel : la proposition de retirer toute pression exercée directement sur les clients finaux contre paiement. Cette offre, qui ressemble à une « garantie de non-agression » conditionnelle, vise à rallier la victime principale en la mettant au centre d’un arbitrage moral pour la protection de ses propres clients. Le message chapeaute cela d’un discours commercial, parlant de « enterprise-grade data handling and customer care », et d’une « spécialisation » dans l’acquisition de données d’entreprises à forte valeur. L’effet recherché est paradoxal : un adversaire qui se vend comme un prestataire de crise. Cette rhétorique tend à normaliser l’extorsion comme service.
Sur le terrain du renseignement, la revendication livre peu d’indicateurs techniques mais propose une matrice d’exploitation. Les domaines cités, de l’automobile à la finance, montrent une priorisation de secteurs où la donnée PII et transactionnelle peut être monétisée rapidement. L’accent sur OAuth et l’authentification laisse penser à des attaques jouant sur des chaînes d’approbation applicatives, ou sur des tokens mal gouvernés. Sans artefacts, ces hypothèses restent des hypothèses. Le seul matériau vérifiable dans le texte demeure l’architecture narrative, les menaces juridiques, le calendrier et les comptes rendus de volumes pour Air France/KLM.
Que faire maintenant : mesures, vérification, communication
Dans un scénario où une telle revendication vise un fournisseur central comme Salesforce, les leviers se répartissent entre technique, juridique et communication. Côté technique, la priorité serait la vérification hors ligne d’échantillons si le groupe publiait des preuves, puis la corrélation interne avec des journaux d’accès et des traces d’API. La revendication évoque des « empreintes » de requêtes et des patterns réseau. L’enjeu, pour une entreprise potentiellement mentionnée, serait d’auditer les intégrations OAuth, les portées des applications, les refresh tokens, et l’application systématique de 2FA. Dans un écosystème complexe, ces contrôles ne relèvent pas uniquement du paramétrage, mais de la gouvernance : quels comptes de service, quelles exceptions, quelles héritages de droits.
Le juridique impose un autre tempo. La menace de transmission aux tribunaux et la promesse de coopération avec des cabinets d’avocats visent à accélérer la décision de payer ou non. Une entreprise citée doit, en parallèle, tracer l’inventaire des données susceptibles d’avoir été exposées et déclencher ses obligations de notification selon les juridictions applicables. Le message insiste sur la dimension « transfrontalière ». Cela signifie des délais et des exigences différentes, et donc une coordination resserrée entre équipes conformité, sécurité et conseil externe.
La communication, enfin, ne peut se caler sur les seuls éléments du message. Sans échantillons vérifiés, toute affirmation publique est risquée. L’équilibre réside dans la transparence sur les vérifications en cours, la préparation de scénarios de réponse au cas où des preuves émergeraient, et une vigilance accrue sur les attaques secondaires : campagnes de phishing ciblées exploitant le narratif de la fuite, fraude au support s’appuyant sur des bribes d’informations, et tentatives d’accès par réinitialisation de comptes. Le cas Air France/KLM, tel qu’il est présenté, illustre bien ces risques : si des logs de messagerie et des historiques de chat circulaient, l’usurpation et le social engineering augmenteraient mécaniquement.
La revendication place Salesforce au centre d’un risque systémique. La phrase « nous avons toujours accès » fait partie de la panoplie. Elle doit être testée, non crue. Les entreprises mentionnées doivent, sans hypothèse, renforcer les contrôles d’accès, invalider les sessions suspectes, réviser les accès applicatifs et documenter les preuves de revue. Le point le plus sensible, pour l’opinion et les régulateurs, restera la chronologie. Si des alertes avaient été reçues, quelle a été la réaction, avec quel délai et quel périmètre ? Le message cherche précisément à verrouiller cette narration.
La revendication attribuée à ShinyHunters coche les cases d’une opération d’extorsion par vol de données : menace graduée, calendrier serré, levier juridique et pression médiatique. L’exemple fourni pour Air France/KLM donne un vernis de détail, sans livrer la preuve indépendante décisive. Pour les organisations mentionnées, l’enjeu est d’articuler vérification technique rapide, doctrine juridique et hygiène d’accès, tout en préparant une communication fondée sur des éléments contrôlés. Question ouverte : si des échantillons sortent, quels indicateurs techniques permettront de distinguer un accès via OAuth mal gouverné d’une compromission plus profonde des environnements Salesforce ?
