Fuites de données depuis un CRM : ShinyHunters mis en cause

Google, Cisco et Air France-KLM ont reconnu, entre le 5 et le 7 août 2025, avoir été victimes de fuites de données provoquées par un accès non autorisé à leur plateforme de gestion de la relation client (CRM). Les deux premières entreprises ont toutes deux été ciblées par une attaque par « vishing » (phishing vocal), mais aucun lien formel n’a pour l’instant été établi entre ces trois affaires.

Google précise que la fuite concerne une base de données Salesforce, contenant des informations sur ses PME clientes. Celle-ci aurait été consultée par un acteur malveillant « pendant une courte période avant la coupure de l’accès ».

En juin 2025, le groupe de renseignement sur les menaces de Google avait révélé le piratage des outils Salesforce d’une vingtaine d’entreprises, aux États-Unis et en Europe, sans indiquer lesquelles. Le géant du net a donc lui-même été victime de cette campagne de compromissions, qu’il attribue au groupe cybercriminel ShinyHunters (ou UNC6040).

« Nous pensons que les acteurs malveillants utilisant la marque ShinyHunters pourraient bientôt intensifier leurs tactiques d’extorsion en lançant un site de fuite de données. Ces nouvelles approches visent probablement à accroître la pression sur les victimes », lit-on dans la note de Google. Selon BleepingComputer, un accès illicite à des bases de données Salesforce serait à l’origine des fuites ayant touché Adidas, Louis Vuitton, le bijoutier Pandora ou la compagnie aérienne Qantas.