Vos données personnelles sur le dark web : L'onde de choc de l'affaire Salesforce
Près d'1 milliard de données volées, et des millions de clients dont les informations personnelles sont désormais dans la nature. Une cyberattaque d'une ampleur inédite a frappé l'entreprise Salesforce, exposant près d'un milliard de données personnelles de clients à travers le monde. De Qantas à Air France-KLM, en passant par des géants du luxe et de la technologie, 39 multinationales sont prises dans une tourmente qui soulève des questions cruciales sur la sécurité du cloud et la responsabilité des acteurs du numérique. Retour sur une crise qui a mis à nu les fragilités de notre économie connectée.
Entre avril 2024 et octobre 2025, une alliance de cybercriminels a méthodiquement siphonné les informations de millions de clients, avant de les jeter en pâture sur le dark web. L'affaire, qui a éclaté au grand jour avec la divulgation des données de 5,7 millions de clients de la compagnie aérienne australienne Qantas, a rapidement pris une dimension planétaire. Le mode opératoire, une combinaison d'ingénierie sociale et d'exploitation de failles dans des applications tierces, révèle une sophistication inquiétante et met en lumière la complexité de la chaîne de responsabilités.
L'anatomie d'une cyberattaque mondiale
L'attaque s'est déroulée en plusieurs phases, sur plus d'un an. Les pirates ont d'abord ciblé des employés via des techniques de vishing* (hameçonnage vocal), se faisant passer pour des techniciens afin d'obtenir des accès. Ensuite, ils ont exploité une vulnérabilité dans l'application tierce Drift Salesloft, un outil marketing connecté à Salesforce, pour aspirer massivement les données. La publication des informations sur le dark web en octobre 2025, accompagnée d'un ultimatum fixé au 10 octobre, a marqué le point culminant de cette opération d'extorsion à grande échelle.
Les chiffres donnent le vertige : près d'un milliard de données volées, 39 entreprises victimes confirmées, et des millions de clients dont les informations personnelles sont désormais dans la nature. Le tableau des victimes illustre la portée systémique de l'attaque, touchant des secteurs aussi variés que le transport aérien (Qantas, Air France-KLM), l'automobile (Toyota, Stellantis), le luxe (Kering, LVMH), la technologie (Google, Cisco) ou encore la logistique (FedEx, UPS).
Secteur | Entreprises touchées |
Transport Aérien | Qantas, Air France-KLM, Vietnam Airlines |
Automobile | Toyota, Stellantis |
Luxe & Mode | Kering, Louis Vuitton, Dior, Chanel, Cartier, Tiffany & Co., Adidas, Puma, Pandora |
Technologie | Google, Cisco |
Distribution & Biens de consommation | McDonald's, Ikea |
Logistique | FedEx, UPS |
Hôtellerie & Services | Marriott, Disney, Hulu |
Finance & Assurance | Allianz Life, TransUnion, Workday |
Qui sont les responsables de cette nouvelle cyberattaques ?
Saleforce a catégoriquement refusé de négocier ou de payer la rançon exigée par les pirates
Face à la crise, la question des responsabilités est au cœur des débats. Salesforce, le géant du CRM, a immédiatement affirmé que sa plateforme n'avait pas été directement compromise, rejetant la faute sur l'application tierce Drift Salesloft. L'entreprise a retiré l'application de son AppExchange et a catégoriquement refusé de négocier ou de payer la rançon exigée par les pirates. Cette position ferme n'a pas empêché le dépôt d'une quinzaine de plaintes en Californie, dont plusieurs visent à obtenir le statut de recours collectif, accusant l'éditeur de ne pas avoir suffisamment sécurisé son écosystème.
La faille de Drift Salesloft met en évidence le risque que représentent les applications tierces. En détournant les jetons d'authentification (OAuth), les pirates ont pu accéder aux bases de données des clients de Salesforce sans jamais percer les défenses de la plateforme principale. C'est l'effet domino de la chaîne d'approvisionnement logicielle : un seul maillon faible peut compromettre l'ensemble de la chaîne.
Derrière cette attaque se cache Scattered Lapsus$ Hunters, une alliance redoutable de trois groupes de cybercriminels bien connus : Lapsus$, ShinyHunters et Scattered Spider. Leur motivation est principalement financière, et leur mode opératoire, basé sur la manipulation humaine et l'exploitation de failles techniques, témoigne d'une professionnalisation du crime en ligne.
Un séisme pour les données personnelles
Les conséquences de cette fuite massive sont multiples. Pour les entreprises, l'impact réputationnel est considérable, s'ajoutant aux coûts de gestion de crise et aux potentielles sanctions réglementaires. Cependant, les répercussions les plus directes et les plus insidieuses concernent les millions d'usagers victimes de cette fuite massive de données personnelles.
Les données exposées (noms, adresses électroniques, numéros de téléphone, dates de naissance, et dans certains cas, numéros de passeport ou de sécurité sociale) constituent un trésor pour les cybercriminels. Elles ouvrent la porte à des campagnes de phishing ciblé, à l'usurpation d'identité et à diverses formes de fraudes. Le risque de compromission secondaire, où les informations volées sont utilisées pour pirater d'autres comptes, est particulièrement élevé.
Pour les victimes, c'est le début d'un long parcours d'incertitude et de vigilance. L'angoisse de ne pas savoir quelles données ont été précisément dérobées, la méfiance systématique envers toute communication et la nécessité de surveiller en permanence ses comptes bancaires et son identité numérique deviennent un fardeau quotidien.
Des mesures correctives jugées insuffisantes
En réponse à la crise, les entreprises et les autorités ont pris plusieurs mesures.
Salesforce a communiqué avec ses clients et a renforcé la sécurité de son écosystème. Des entreprises comme Qantas ont obtenu des injonctions pour empêcher la diffusion des données et ont mis en place des lignes de support. Allianz Life a offert deux ans de services de surveillance d'identité à ses clients affectés.
Les autorités, notamment le FBI, qui avait déjà mis en garde contre ce type d'attaques, ont ouvert des enquêtes et semblent avoir réussi à faire fermer le site de fuite des pirates. Cependant, pour de nombreux experts et pour les victimes, ces mesures semblent arriver trop tard. La question de la prévention et du contrôle en amont des applications tierces reste entière.
Cette affaire met en lumière la nécessité d'une approche plus globale et partagée de la cybersécurité. La responsabilité ne peut plus reposer uniquement sur l'utilisateur final. Elle doit être assumée par l'ensemble des acteurs de la chaîne numérique, des développeurs d'applications aux géants du cloud. Sans une vigilance et une collaboration accrues, la prochaine méga-fuite de données n'est qu'une question de temps.*
*Le vishing, ou hameçonnage vocal, est une technique d'ingénierie sociale où les attaquants utilisent le téléphone pour tromper leurs victimes. En se faisant passer pour un collègue, un technicien du support informatique ou un responsable hiérarchique, ils créent un sentiment d'urgence ou de confiance pour inciter la victime à divulguer des informations confidentielles, comme des mots de passe ou des codes d'accès. Dans l'affaire Salesforce, cette méthode a été la porte d'entrée qui a permis aux pirates d'obtenir les premiers accès aux systèmes des entreprises ciblées.
