Google a récemment confirmé qu’un incident de sécurité a ciblé une de ses instances Salesforce, dédiée à la prospection. Bien que les données exfiltrées soient limitées, la gravité de la situation est à prendre au sérieux. Ce contexte soulève des questions cruciales sur la nature de la fuite chez Google et les mesures à prendre pour prévenir d’éventuelles attaques de piratage et de sécurité. , rapporte TopTribune.
Le 5 août 2025, Google a admis qu’une atteinte à la sécurité survenue en juin 2025 a affecté l’une de ses instances Salesforce, un outil de gestion de la relation client (CRM), entraînant l’exposition de données liées à des prospects de Google Ads. Le 8 août, l’entreprise a terminé l’envoi de notifications par e-mail aux parties affectées. Le 11 août, un article de 01net a évoqué la possibilité d’une portée plus étendue du piratage.
Google confirme l’intrusion
Dans une note partagée par son équipe Threat Intelligence, Google a détaillé les circonstances de l’attaque. Celle-ci a été attribuée au groupe ShinyHunters (également suivi par Google sous le nom UNC6040) et a ciblé spécifiquement un périmètre Salesforce. D’après les informations fournies, cette instance avait pour objectif de stocker des données professionnelles, notamment « des contacts » et « des notes associées » relatives aux petites et moyennes entreprises. Bien que Google indique que ces éléments étaient largement accessibles et moins sensibles que des identifiants de paiement ou des mots de passe, cela ne signifie pas qu’ils soient sans risque. La sécurité dépend également de la combinaison et du contexte des données concernées.
Google met en avant deux points cruciaux en matière de sécurité informatique. Tout d’abord, l’accès non autorisé a été stoppé « après une brève fenêtre » durant laquelle des données ont été exfiltrées. De plus, les équipes ont mené une analyse d’impact et ont lancé les notifications, confirmées le 8 août. La méthode d’intrusion utilisée s’apparente à un piratage par ingénierie sociale, en particulier du vishing, qui incite des employés à installer ou à approuver des outils malveillants liés à Salesforce. Dans un environnement cloud, il suffit d’un simple appel pour compromettre la sécurité. Google, tout comme les attaquants, en est parfaitement conscient.
L’essor du vishing : un risque omniprésent pour Google
Qu’est-ce qui motive cette campagne contre Google ? Des groupes comme ShinyHunters exploitent des techniques d’attaque à faible coût, allant de l’usurpation d’identité à la manipulation par téléphone, afin de compromettre une instance CRM. Ici, le piratage ne repose pas sur une vulnérabilité « zéro-day », mais sur des failles humaines. Des médias spécialisés rapportent que la tactique se base sur le vishing et l’utilisation abusive de réinitialisations d’identifiants. Selon un rapport de 01net, environ 2,55 millions d’enregistrements de données ont été compromis.
Les données touchées sont qualifiées par Google d' »informations commerciales de base », incluant des noms d’entreprises, des coordonnées et des notes de prospection. Aucune donnée de paiement ou d’informations sur les comptes Ads ou Analytics n’a été révélée, selon des vérifications effectuées par BleepingComputer. Néanmoins, cela ne signifie pas qu’il faille négliger cette situation. Une telle fuite peut être exploitée pour des campagnes de phishing excessivement ciblées. Les prospects de Google Ads représentent des entités déjà en contact avec Google. Ainsi, un e-mail semblant provenir d’un représentant pourrait facilement tromper la vigilance, tout comme un appel prétendant « vérifier un IBAN » pour un paiement. La frontière entre la sécurité informatique et la fraude est délicate.
Alors, que peuvent faire les utilisateurs face à cette situation ? Bien que Google ait achevé l’envoi de ses alertes par e-mail, la meilleure défense réside dans la vigilance. Il est crucial de vérifier toute sollicitation liée à Google par un canal indépendant : ne jamais rappeler un numéro fourni dans un message inattendu et utiliser l’interface officielle de Google Ads pour toute action sensible. Par ailleurs, il est recommandé d’exiger la double authentification (MFA) partout, y compris pour les accès Salesforce. Enfin, les entreprises doivent former leurs équipes aux scénarios de vishing, en reconnaissant les signes d’un appel pressant ou d’une « mise à jour » d’outil. L’urgence devrait toujours susciter un doute.
Mesures de protection pour les entreprises partenaires de Google
Pour les entreprises ayant interagi avec Google autour de Google Ads, deux priorités sont à considérer. Sur le périmètre Google, il est conseillé de réexaminer les rôles, les accès, les comptes administrateurs, et d’éliminer les utilisateurs inactifs. En interne, notamment si Salesforce est utilisé, il convient de renforcer les politiques d’authentification, d’interdire l’installation de « Data Loader » non officiels, et d’établir un protocole de vérification par double canal pour toute demande de modification sensible, qu’il s’agisse de moyens de paiement, de titulaires de compte, ou de transferts d’actifs publicitaires.
