Un incident récent se concentre une fois de plus sur un risque que les entreprises continuent de sous-estimer : l'intégration de tiers comme moyen d'accès de masse aux données sensibles. Selon les rapports recueillis par les médias spécialisés, plusieurs organisations ont subi le vol d'informations suite à l'engagement d'un fournisseur d'intégration SaaS; les attaquants ont obtenu des jetons d'authentification et les ont utilisés pour accéder aux services cloud, avec un intérêt particulier pour le stockage de données en nuage et les plateformes d'analyse.
La plupart des tentatives d'infiltration ont porté sur le flocon de neige, la plate-forme de données Entrepôt bien connue dans le nuage, qui a confirmé qu'elle avait détecté une activité anormale dans les comptes liés à une intégration de tiers et empêché l'accès potentiellement affecté. Snowflake a clairement précisé qu'il n'y avait pas eu de défaillance dans ses propres systèmes ou de violation de l'infrastructure de l'entreprise; l'intrusion, selon les éléments de preuve, a été résolue sur l'accès aux titres de compétence obtenus à l'extérieur de son périmètre. Vous pouvez consulter l'information publique de Snowflake sur son site et sur sa page d'état : Le blog des flocons de neige et page d'état.
Les sources écosystémiques ont souligné que l'origine de l'incident pourrait être la société de détection d'anomalies de données Anodot, acquise par Glassbox en novembre 2025, bien que ni le flocon des neiges ni les intégrateurs concernés n'aient rendu publics les noms officiels dans les premières communications. Anodot est présenté comme une solution qui applique l'apprentissage automatique pour identifier les changements inhabituels dans les paramètres commerciaux et opérationnels, et son rôle en tant que point d'intégration avec des plateformes telles que Snowflake le place dans une position critique: un accès profond aux flux de données et donc un objectif intéressant pour les acteurs malveillants. Plus d'informations sur Anodot dans votre site et sur Glassbox dans Boîte en verre.
Les agresseurs qui ont revendiqué l'autorité, identifiés par les rapports comme le groupe connu sous le nom de ShinyHunters, ont prétendu avoir exfiltré des données de dizaines d'entreprises et d'essayer de les extorquer pour éviter la publication des informations volées. ShinyHunters est un acteur qui a joué dans les fuites et les ventes de données dans le passé; vous pouvez lire le contexte de ce groupe dans la documentation publique disponible, par exemple dans Votre onglet sur Wikipedia et en analyse journalistique spécialisée.
Un détail qui a attiré l'attention a été la mention des tentatives d'accès aux données de Salesforce à l'aide des jetons volés, qui auraient été détectés et bloqués avant que les attaquants parviennent à extraire des informations. L'année dernière a été marquée par une succession de campagnes ciblant Salesforce et d'autres plateformes CRM, ce qui met en évidence la pression persistante sur les ressources avec des informations commercialement sensibles. Salesforce tient à jour des informations sur son statut et ses pratiques de sécurité votre portail statut.
Parmi les entreprises qui ont signalé l'incident, Payoneer a indiqué qu'après avoir examiné leurs intégrations, il n'y avait aucune preuve d'impact sur leurs systèmes. La réponse des entreprises à ces alertes varie souvent; certains agissent immédiatement, d'autres prennent du temps pour confirmer la portée et d'autres évitent de divulguer des détails pour des raisons juridiques ou de confinement. Vous pouvez consulter les communiqués de presse et le suivi dans les médias spécialisés tels que : Calculateur qui a couvert cette campagne et d'autres campagnes similaires.
Il est également pertinent que des groupes comme Google Threat Analysis Group La coordination entre les équipes de renseignement sur les menaces et les fournisseurs est essentielle pour contenir ces événements et en atténuer la propagation. Les équipes d'intervention recommandent, entre autres mesures, de bloquer l'accès engagé, de faire pivoter les pouvoirs et d'examiner les registres afin d'identifier les mouvements latéraux qui pourraient être passés inaperçus. La perspective institutionnelle sur les cyberincidents et l'atténuation peut être consultée dans les ressources officielles telles que le matériel de la CISA et d'autres organismes de sécurité.
Au-delà de qui était derrière l'accès initial, l'épisode présente un problème structurel: l'intégration légitime entre les services - ceux qui facilitent le travail, automatisent les processus et sont presque invisibles pour de nombreuses équipes - peut devenir des portes arrière si elles ne sont pas gérées avec des politiques strictes. Les jetons et les références d'intégration doivent être traités comme des secrets de sensibilité maximale: doivent avoir une expiration à court terme, des permis à limite minimale et être tournés fréquemment. En outre, il est essentiel de tenir un inventaire clair des applications externes qui ont accès aux données et avec lesquelles les privilèges, quelque chose de nombreux environnements informatiques ne font toujours pas avec la discipline requise.
Pour les entreprises concernées ou à risque, il y a des mesures pratiques qui doivent être hiérarchisées: vérifier et limiter l'intégration par des tiers, mettre en œuvre une forte authentification et segmentation des données, permettre des alertes sur les schémas d'accès inhabituels et préparer des plans de réponse aux fuites. La détection précoce était précisément la différence qui aurait empêché les attaquants de tirer des données de Salesforce à cette occasion.
S'il y a une leçon à souligner, c'est que la surface d'attaque n'est plus seulement le serveur ou la propre application, mais le complexe de connexions externes, API et jetons qui composent l'architecture moderne. La sécurité exige aujourd'hui des contrôles qui tiennent compte de l'écosystème complet de l'intégration, pas seulement les périmètres traditionnels.
Cet épisode continuera d'être développé et les mises à jour des fournisseurs concernés et les équipes d'intervention en cas d'incident devraient être gardées à l'esprit. Pour un suivi plus détaillé et technique, des espaces spécialisés tels que BleepingComputer et des publications officielles de l'entreprise fournissent des informations à jour, tandis que des agences publiques et privées de cybersécurité publient des guides pour renforcer la défense contre l'extorsion et le vol de données : Calculateur, Flocon de neige, Anodote, Boîte en verre et CISA - StopRansomware.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...