Google, le géant de la tech, a confirmé récemment s’être fait viser par une cyberattaque organisée par une bande de malfaiteurs. L’attaque a touché l’une de ses plateformes Salesforce CRM et fait naître de sérieuses interrogations sur la sécurité des infos sensibles et sur les risques potentiels pour clients et partenaires.
ce qu’il s’est passé
Les mêmes hackers qui avaient déjà mis dans l’embarras Bouygues Telecom et Air France-KLM sont derrière cette coupure, prouvant qu’ils n’ont pas froid aux yeux pour s’attaquer à de grosses boîtes. En juin, ces cybercriminels ont lancé leur offensive contre Google en réclamant une rançon de 20 Bitcoins (environ 2,3 millions de dollars). Ils ont eu recours à des techniques de phishing bien rodées en appelant les employés pour obtenir les identifiants indispensables des serveurs Salesforce.
Ils sont même parvenus à brancher une version trafiquée de l’application OAuth Data Loader dans l’environnement Salesforce de Google, ce qui leur a permis de compromettre un serveur et de télécharger l’intégralité de la base de données. Cette méthode, assez élaborée, montre bien que les hackers adaptent sans cesse leurs stratégies pour contourner les défenses habituelles.
les données volées
Environ 2,55 millions d’enregistrements ont été touchés dans cette fuite de données. Les données exfiltrées regroupent surtout des infos de contact professionnelles, comme des noms d’entreprises et des numéros de téléphone, accompagnés de quelques notes. Heureusement, les informations de paiement n’ont pas été compromises, et les comptes Google Ads, Merchant Center et Google Analytics n’ont pas été affectés. Google précise qu’il s’agissait d’un ensemble limité de données dans une instance Salesforce employée pour joindre des prospects de Google Ads, illustrant la collecte de données.
qui est derrière et qui d’autre a été touché
C’est le gang ShinyHunters, en collab’ avec les groupes Scattered Spider et Lapsus$, qui est à l’origine de cette attaque. Scattered Spider s’était occupé d’infiltrer le système, tandis que ShinyHunters a pris en charge le vidage des données pour essayer de soutirer de l’argent à Google. Un membre du groupe a même commenté : « Je ne me soucie pas de rançonner Google de toute façon, je leur ai juste envoyé un email bidon pour le plaisir. »
Par ailleurs, Air France-KLM et Bouygues Telecom comptent déjà parmi les victimes. Par exemple, un répertoire contenant des informations client d’un FAI a été vendu pour 50 000 euros. Ces données volées pourraient servir à monter des campagnes de phishing ciblées lors d’événements à venir, comme la rentrée scolaire.
comment on réagit et que faire
Le Google Threat Intelligence Group a signalé ces attaques dès le mois de juin. Les hackers ont notamment utilisé des outils inédits, comme des scripts Python, délaissant le classique Salesforce Data Loader. Dans un communiqué officiel, Google précise que l’incident ne concernait qu’un petit ensemble de données de son instance Salesforce, utilisée pour communiquer avec des prospects Google Ads, et qu’il s’agissait essentiellement d’infos commerciales de base, déjà largement accessibles au public.
