La filiale des services numériques et de l'externalisation de Telus, connue sous le nom de Téléphone numérique, a reconnu publiquement un incident de sécurité que les agresseurs ont dit compromis une grande quantité d'informations. La société elle-même a confirmé aux médias qu'elle enquêtait sur l'accès non autorisé à « un nombre limité de nos systèmes » et qu'elle avait mis en place des mesures pour contenir l'intrusion, embaucher des experts médico-légaux et en informer les autorités compétentes.
Les détails qui sont apparus dans la plupart des revendications d'un groupe d'extorsion connu sous le nom de Des chasseurs brillants, qui prétend avoir exfiltré presque un petaoctet de données sur plusieurs mois. Ce chiffre - bien que frappant - n'a pas été vérifié de manière indépendante par des tiers et doit donc être pris avec prudence à mesure que l'enquête progresse. La couverture initiale et les déclarations peuvent être trouvées dans les médias spécialisés dans la cybersécurité, par exemple Calculateur.
Telus Digital fournit des services d'externalisation critiques : soins à la clientèle, modération du contenu, préparation des données pour les opérations IA et centres de contact. Cette concentration de fonctions fait des fournisseurs de BPO des cibles particulièrement lucratives pour les attaquants, car un accès unique peut révéler des données de plusieurs entreprises et des millions de clients. Telus a déclaré que, pour l'instant, ses activités demeurent « entièrement opérationnelles » et qu'il n'y a aucune preuve d'interruption de la connectivité ou des services à la clientèle à mesure que le confinement se poursuit.
Selon le récit publié par les attaquants eux-mêmes, le point de départ était l'utilisation des identifiants Google Cloud trouvés dans les données filtrées dans un autre incident : l'écart qui a affecté l'intégration SalSlovak / Drift et qui a entraîné le vol des instances Salesforce. La recherche par des tiers, publiée par l'équipe de renseignement Google / Mandiant, décrit comment ces informations volées ont été utilisées dans une chaîne pour identifier les secrets et l'accès à d'autres services cloud; une analyse peut être lue sur le blog de Google Cloud sur cet incident dans Cloud.google.com.
Les agresseurs rapportent qu'avec ces références, ils ont accédé à de nombreux systèmes de l'entreprise, y compris un grand environnement BigQuery, et qu'ils ont utilisé des outils pour rechercher des secrets tels que truffes pour localiser de nouveaux jetons et clés qui leur ont permis de pivoter dans l'infrastructure et de télécharger des volumes massifs d'informations. Cette technique des "crédentielles d'identification" est une tactique récurrente dans les campagnes qui découlent de fuites de données initiales sur les plateformes SaaS.
L'ensemble d'informations que ShinyHunters prétend avoir est varié : des données de support et des enregistrements d'appels des centres de contact au code source, des antécédents obtenus par des processus de vérification, des informations financières, des données de Salesforce et des enregistrements de conversations de support vocal. Parmi les documents qui décrivent les attaquants, il y aurait des dossiers de métadonnées d'appels (temps, durée, nombres en cause, qualité de l'appel) qui, dans les mauvaises mains, peuvent faciliter la fraude ou la confrontation en génie social.
En plus de l'exfiltration, les agresseurs ont lancé une campagne d'extorsion. D'après les réclamations du Comité, en février, ils ont exigé 65 millions de dollars pour ne pas divulguer les données volées; Telus, pour sa part, selon les sources citées, n'aurait pas négocié avec les extorseurs et avait opté pour une enquête médico-légale et une notification, comme le détermine l'état d'avancement des enquêtes. L'entreprise a indiqué qu'elle avait mis en place des mesures de sécurité supplémentaires et qu'elle informerait les clients touchés dans la mesure où leur exposition est confirmée.
ShinyHunters n'est pas un nouvel acteur dans l'image : ces dernières années, il a été lié à de multiples campagnes visant les services cloud et les plateformes SaaS, en particulier pour obtenir et monétiser des données de Salesforce, Google Workspace et d'autres écosystèmes d'affaires. Des tactiques mixtes telles que le vol d'identités et de codes MFA et l'utilisation abusive de jetons d'authentification pour prendre le contrôle des comptes SSO ont également été documentées, ce qui leur a permis de se déplacer latéralement dans des environnements reliés aux services ministériels. La couverture spécialisée a analysé l'évolution et les objectifs de ce groupe, par exemple dans Calculateur.
Pour les clients et les entreprises qui dépendent des fournisseurs de BPO, cet épisode met en évidence une leçon récurrente : la sécurité de la chaîne de valeur numérique compte autant que l'autosécurité. Pour revoir les politiques d'accès et de gestion secrète, appliquer une stricte segmentation entre les services, faire pivoter les références et adopter des systèmes de détection précoce dans les environnements nuageux sont des mesures essentielles. En même temps, les organisations devraient se préparer à réagir aux incidents qui touchent non seulement leurs systèmes, mais aussi ceux de tiers qui stockent ou traitent leurs renseignements.
Du point de vue des utilisateurs finaux, l'exposition aux enregistrements d'appels, aux dossiers de soutien ou aux données de facturation augmente le risque de fraude ciblée. Il est recommandé de rester vigilant aux communications suspectes, d'activer l'authentification multifactorielle dans tous les services qui lui permettent et de vérifier directement auprès des fournisseurs officiels toute demande de renseignements sensibles.
Au fur et à mesure que l'enquête se poursuit et que Telus travaille avec des experts et des forces de sécurité, il reste inconnu quant à l'ampleur réelle du vol et à l'identité finale des entreprises concernées. L'entreprise a promis d'informer les clients concernés « le cas échéant » dès qu'il aura été précisé quelles données ont été exposées. Nous resterons en attente de mises à jour publiques et de rapports médico-légaux pour confirmer le volume et la nature exacte des informations engagées.
Pour approfondir le contexte technique et contextuel de cette affaire, des analyses de référence et des nouvelles sont disponibles : la couverture de l'incident par Calculateur, la rupture de l'incident SalSlovak / Drift sur le blog de Google Cloud / Mandiant et la documentation des outils qui ont été mentionnés par les agresseurs, truffes.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...