Ces derniers mois ont montré comment l'ingénierie sociale, les erreurs de configuration et le développement précipité peuvent conduire à des résultats malheureux pour les organisations et les personnes qui leur confient leurs données personnelles.
Dans ce récapitulatif hebdomadaire de Leaky Weekly, nous analysons trois actualités majeures :
- Les violations du locataire Salesforce
- Deux violations consécutives de l'application Tea
- L'ascension et la chute de TeaOnHer, le clone masculin de Tea
Suivez l'émission de Nick Ascoli, animateur et chercheur en sécurité, qui aborde ces sujets ci-dessous sur Spotify, Sur Podcasts Apple, sur YouTube (ci-dessous), et/ou continuez à lire cet article pour en découvrir les points saillants.
Intrusions de données chez les locataires Salesforce : une attaque qui a commencé par un appel téléphonique
Salesforce est un outil d'engagement client utilisé par des milliers d'entreprises dans le monde entier, qui optimise les ventes, le service client, le marketing et bien plus encore. Malheureusement, de juin à août 2025, plusieurs instances Salesforce ont été compromises, non pas par des vulnérabilités de Salesforce lui-même, mais par des environnements clients compromis.
Cela ressemble aux violations de locataires de Snowflake (Article paru sur Leaky Weekly) dans lequel des acteurs malveillants se sont connectés aux comptes des clients de Snowflake. Cependant, ce cas cela impliquent du piratage.
Comment l'attaque a fonctionné
L'attaque est attribuée à UNC6040, plus connu sous le nom de ShinyHunters, un groupe de cybercriminels réputé pour ses extorsions et ses attaques par hameçonnage vocal (vishing). Les attaquants contactaient les employés et les persuadaient d'autoriser une application malveillante à se connecter à leur portail Salesforce. Cette application, Data Loader, contrôlée par l'attaquant, permettait de connecter l'application au compte de la victime et d'effectuer une exfiltration massive de données.
Mandiant a décrit le plan d'attaque
Qui a été touché ?
Les rapports citent une liste de marques grand public dans tous les secteurs d'activité.Les compagnies aériennes, les marques de luxe, les géants de la technologie, et bien d'autres, ont été victimes de vols d'informations. Ces vols concernaient souvent les dossiers du service client : adresses e-mail, noms, pays de résidence, etc.
Quelle est la prochaine étape?
ShinyHunters a pour habitude d'attendre avant de lancer ses campagnes d'extorsion ; les organisations pourraient donc subir des demandes de rançon tardives ou des attaques de phishing ciblées exploitant des données volées. Selon certaines informations, le groupe pourrait également lancer son propre site de fuite de données (DLS), à l'instar des groupes de Rançongiciels qui dénoncent publiquement leurs victimes pour accroître la pression.
L'application Tea : du phénomène viral aux violations de données successives
Lancée en 2023, l'application Tea était conçue comme un outil de sécurité permettant aux femmes de signaler les signaux d'alerte (« rouges » et « verts ») concernant les hommes qu'elles fréquentaient. Grâce à un succès viral sur TikTok et Instagram, Tea s'est hissée à la première place de l'App Store en juillet 2025. Mais quelques jours plus tard, elle a subi deux graves violations de données.
Violation n° 1 : Photos d’identité divulguées
Le 26 juillet 2025, un utilisateur de 4chan a publié la preuve de la présence d'un bucket Firebase contenant 72 000 photos de vérification montrant des femmes tenant un permis de conduire. Ces données auraient dû être « immédiatement supprimées », conformément à la politique de confidentialité de Tea, mais elles sont restées accessibles au public.
L'auteur de la menace a publié sur 4chan des informations provenant de Tea auxquelles il avait eu accès.
Fuite 2 : Des conversations privées divulguées
Quelques jours plus tard, Tea a de nouveau été victime d'une faille de sécurité. Des contrôles d'accès inadéquats ont exposé 1.1 million de messages privés, dont des échanges très personnels concernant des partenaires violents et des infidélités. Les utilisateurs avaient confié à Tea des conversations sensibles, qui se sont ensuite retrouvées en ligne.
Ces deux failles de sécurité sont dues à des erreurs de configuration élémentaires et à des contrôles d'accès insuffisants, ce qui souligne comment un manque de principes fondamentaux de sécurité peut faire couler même les applications à la croissance la plus rapide.
TeaOnHer : le clone masculin de Tea
TeaOnHer, une application clone de Tea destinée aux hommes et présentée comme une plateforme où les hommes peuvent publier des commentaires sur les femmes, a été lancée en août. Elle a rapidement atteint la 3e place du classement de l'App Store avec 165 000 téléchargements. Mais ensuite… Des failles de sécurité ont été découvertes qui fuyaient :
- Noms et adresses électroniques
- Selfies et photos d'identité officielles
- Données du permis de conduire
- Information de Lieu
Au total, environ 53 000 utilisateurs ont été touchés.
L'adresse e-mail personnelle du développeur et le mot de passe de son panneau d'administration (« Password1 ! ») étaient intégrés en dur dans le code JavaScript du site, les laissant visibles sur la page d'accueil.
À l'instar de Tea, TeaOnHer fait déjà l'objet d'un examen juridique et risque des recours collectifs. Les experts en cybersécurité attribuent ces vulnérabilités à un développement précipité et à l'absence de contrôles d'accès. Cet exemple pourrait servir d'avertissement aux startups qui s'empressent de surfer sur la vague virale sans intégrer la sécurité dès le départ.
Les erreurs de configuration et la manipulation alimentent les violations modernes.
Des entreprises du Fortune 500 aux applications virales, les cybercriminels exploitent les failles les plus élémentaires, qu'il s'agisse d'un appel téléphonique convaincant ou d'un espace de stockage vulnérable. Les techniques d'extorsion évoluent pour exercer une pression toujours plus forte sur les victimes.
Pour les équipes de sécurité, la voie à suivre est claire : renforcer les contrôles d’accès stricts, la formation des employés et la surveillance continue.
Leaky Weekly et Flare Academy
Pour une analyse plus approfondie de ces tendances, consultez d'autres épisodes sur YouTube, Spotify, Podcasts Apple.
Rejoignez-nous à Flare AcademyNos formations (gratuites !) peuvent donner un nouvel élan à votre carrière en cybersécurité. Animées par des experts, elles abordent des sujets essentiels tels que le renseignement sur les menaces, la sécurité opérationnelle et les techniques d'investigation avancées. Vous pouvez également obtenir des crédits de formation continue (CPE) pour vos certifications en cybersécurité.
Rejoignez le serveur Discord de la communauté Flare Academy Pour rester au courant des formations à venir, consultez les ressources des formations précédentes, discutez avec des professionnels de la cybersécurité (dont Nick !), et bien plus encore.
