Google victime d'une cyberattaque via Salesforce

Google a révélé mardi 6 août qu'une base de données Salesforce de l'entreprise avait été compromise en juin par le groupe cybercriminel ShinyHunters. Cette attaque s'inscrit dans une campagne plus vaste visant les instances Salesforce de grandes entreprises internationales.

Le retour en force des attaques vocales

L'ingénierie sociale par téléphone, autrefois reléguée au second plan face aux malwares sophistiqués, connaît un regain spectaculaire. Le groupe ShinyHunters, identifié par Google sous la dénomination UNC6040, a perfectionné une technique redoutable : le vishing (voice phishing). Les attaquants se font passer pour le service informatique interne et manipulent psychologiquement les employés pour obtenir leurs accès.

Dans le cas de Google, un employé a été convaincu d'installer une version modifiée de Salesforce Data Loader, l'outil officiel de gestion des données. Cette application piégée a permis aux cybercriminels d'extraire les informations stockées avant que l'intrusion ne soit détectée et bloquée.

Un arsenal technique en constante évolution

L'analyse technique révèle une méthodologie particulièrement élaborée. Les attaquants utilisent désormais des voix générées par intelligence artificielle pour tromper les systèmes d'analyse vocale des services de renseignement. Ils s'appuient également sur des VPN anonymisés comme Mullvad et le réseau Tor pour masquer leur localisation.

Lorsque les mesures de sécurité sont renforcées, ShinyHunters adapte ses outils. Le groupe déploie des scripts Python personnalisés en lieu et place de l'application Data Loader modifiée, démontrant une capacité d'adaptation technique remarquable.

Un butin limité mais révélateur

Google précise que les données dérobées se limitaient à "des informations commerciales basiques et largement publiques", comprenant les noms d'entreprises et leurs coordonnées. Environ 2,55 millions d'enregistrements concernant des petites et moyennes entreprises auraient été compromis selon les estimations.

Cette faille intervient ironiquement alors que Google surveillait déjà les activités de ShinyHunters dans le cadre de ses recherches en cybersécurité. La situation illustre que même les entreprises technologiques les mieux informées restent vulnérables aux techniques d'ingénierie sociale.

Une campagne d'envergure internationale

ShinyHunters a revendiqué des attaques similaires contre une vingtaine d'organisations en Europe et aux États-Unis, incluant Adidas, Qantas, Allianz Life, Cisco et les marques LVMH (Louis Vuitton, Dior, Tiffany). Le groupe exige généralement des rançons en Bitcoin dans les 72 heures suivant le contact avec ses victimes.

Les enquêteurs s'attendent à ce que ShinyHunters lance prochainement un site de publication des données volées, tactique classique des groupes de ransomware pour faire pression sur leurs victimes.

Cette attaque confirme l'évolution des cybermenaces vers des approches hybrides combinant manipulation psychologique et outils techniques avancés. Les entreprises doivent désormais sécuriser autant leurs processus humains que leurs infrastructures informatiques. Google a notifié l'ensemble des clients concernés début août et assure qu'aucune donnée de paiement ou publicitaire n'a été compromise.