Salesforce refuse de payer la rançon réclamée par des cyberpirates (udpate)
Un groupe de hackers menace actuellement de publier près d’un milliard d’enregistrements volés appartenant à des utilisateurs de Salesforce. L’éditeur SaaS, de son côté, refuse toute négociation et ne compte ni verser la rançon demandée ni dialoguer avec les attaquants.
Mise à jour du 9 octobre 2025: Un groupe de hackers nommé Scattered Lapsus$ Hunters a récemment affirmé avoir publié sur son propre site près d’un milliard de données dérobées à des utilisateurs de Salesforce. Parmi les 39 entreprises concernées par cette fuite figurent, selon BleepingComputer, des marques bien connues telles que FedEx, Marriott, Google, Cisco, Adidas, UPS et Ikea.
Selon le rapport, les hackers exigent un paiement unique de la part de Salesforce ou de certaines entreprises touchées, faute de quoi les données seraient rendues publiques.
Les attaquants auraient obtenu ces données au cours de deux campagnes distinctes menées cette année contre des instances de Salesforce: la première via une attaque reposant sur l’ingénierie sociale, la seconde au moyen d’une attaque de la chaîne d’approvisionnement exploitant l’application tierce Salesloft Drift.
Salesforce a désormais confirmé, selon BleepingComputer, ne pas avoir l’intention de négocier ni de payer aucune rançon. Le géant américain du CRM en mode cloud aurait informé ses clients de cette décision par e-mail dès mardi dernier, rapporte Bloomberg (accès payant). Salesforce dit être conscient des tentatives d’extorsion en cours et être en contact avec les clients concernés.
Le site web hébergeant la fuite de données a entre-temps été désactivé. Le domaine utilise désormais les serveurs de noms surina.ns.cloudflare.com et hans.ns.cloudflare.com, tous deux déjà employés par le FBI dans le cadre de précédentes saisies de domaines. Interrogé par BleepingComputer pour savoir si le domaine concerné avait été saisi dans ce cas précis, le FBI n’a pour l’heure pas répondu.
News du 8 octobre 2025: Le groupe de pirates informatiques Scattered Lapsus$ Hunters se vante sur son site web d'avoir volé environ 990 millions d'enregistrements Salesforce. Une rançon doit être négociée d'ici le 10 octobre avant la publication des données, rapporte le média américain CRN.
Les données volées contiendraient des informations personnelles provenant de 39 entreprises au total. Les pirates auraient obtenu ces données au moyen de vishing, une méthode d’escroquerie consistant à inciter les victimes, par téléphone, à divulguer des informations confidentielles. Selon BleepingComputer, les auteurs feraient partie d’autres groupes de hackers, dont ShinyHunters, Scattered Spider et Lapsus$.
Salesforce a déclaré à CRN qu’elle menait actuellement une enquête en collaboration avec des experts externes et les autorités. Les éléments disponibles suggèrent que les tentatives d’extorsion seraient liées à d’anciens incidents ou à des cas non confirmés. L’entreprise américaine affirme être en contact avec les clients potentiellement concernés, tout en précisant que «rien n'indique que la plateforme Salesforce ait été compromise».
Le chercheur en cybersécurité Kevin Beaumont a toutefois confirmé l’authenticité des échantillons de données, selon le rapport: «J’ai parlé à l’une des organisations concernées — leurs données proviennent clairement de leur instance Salesforce», a-t-il précisé.
