Cushman & Wakefield : 50 Go Salesforce publies par ShinyHunters

Ce qui s'est passe

Le groupe d'extorsion ShinyHunters a mis sa menace a execution. Apres l'expiration du delai de paiement fixe au 6 mai, les cybercriminels ont publie un dataset de 50 Go preleve sur l'instance Salesforce de Cushman & Wakefield, l'un des trois plus gros acteurs mondiaux du conseil en immobilier d'entreprise. La fuite, mise en ligne sur le site de leak du groupe puis relayee sur des forums clandestins, contient selon les pirates plus de 500 000 enregistrements lies aux clients, prospects, partenaires et employes du groupe.

L'attaque initiale a ete revendiquee une premiere fois debut mai. ShinyHunters affirmait alors avoir obtenu un acces persistant a l'environnement Salesforce du groupe le 1er mai 2026, et menacait de tout publier en l'absence de paiement. Cushman & Wakefield avait confirme l'incident a The Register quelques jours plus tard, qualifiant la portee de l'attaque de limitee et indiquant que l'origine etait une compromission de type vishing, c'est-a-dire de l'ingenierie sociale telephonique. Concretement, un attaquant se faisant passer pour un membre de l'equipe IT ou pour un editeur de logiciels aurait amene un employe a livrer ses identifiants ou a installer un connecteur OAuth malveillant donnant acces a l'API Salesforce.

Le mode operatoire correspond a la signature recente de ShinyHunters, qui s'est specialise depuis le debut de l'annee dans le siphonnage massif d'instances Salesforce via l'abus de connecteurs Data Loader malveillants enregistres apres usurpation. Une fois le jeton d'API obtenu, le groupe extrait en quelques heures l'ensemble des objets Account, Contact, Opportunity, Case et Lead, soit le coeur de la donnee commerciale d'une entreprise. Le contenu publie comprendrait des coordonnees professionnelles de decideurs, des historiques de mandats immobiliers, des informations de facturation, des notes commerciales internes ainsi que des elements de pipeline de transactions confidentielles.

Selon les analystes de Cybernews qui ont parcouru un echantillon du dump, le dataset est decoupe en plusieurs archives correspondant aux differents tenants Salesforce du groupe, dont des entites operationnelles aux Etats-Unis, en Europe et en Asie-Pacifique. Les fichiers incluent egalement des champs personnalises propres aux processus internes de Cushman & Wakefield, ce qui rend tres difficile une dissimulation ou un deni partiel. Plusieurs cabinets concurrents et grands utilisateurs finaux figurent parmi les contreparties identifiables, ouvrant la voie a une exploitation secondaire de la donnee, notamment en spear phishing cible.

Element notable : un second groupe, Qilin, considere comme l'un des operateurs de ransomware les plus prolifiques en 2026, a egalement revendique une intrusion separee chez Cushman & Wakefield. Qilin a ajoute le geant immobilier sur son propre site de fuite le 4 mai, sans pour l'instant publier d'echantillon. Les chercheurs en threat intelligence privilegient l'hypothese de deux compromissions distinctes mais coincidentes, plutot qu'une coalition entre les deux groupes, ce qui souligne le niveau d'exposition du groupe aux attaques opportunistes ciblant ses fournisseurs SaaS.

Cushman & Wakefield a publie un communique sobre confirmant l'activation de ses protocoles de reponse, l'engagement de cabinets externes specialises en forensic et la notification des autorites competentes. Aucune information n'a ete fournie sur le perimetre exact des donnees concernees ni sur le calendrier de notification individuelle aux personnes affectees, comme l'exige le RGPD pour les contreparties europeennes. Les regulateurs americains et britanniques attendent egalement un signalement formel, plusieurs juridictions imposant un delai maximal de 72 heures.

L'incident s'inscrit dans une serie d'attaques visant les ecosystemes Salesforce d'entreprises du Fortune 1000 depuis fevrier 2026. Allianz Life, Workday, Carnival Cruise Line, ADT et plus recemment plusieurs cabinets de conseil ont egalement subi le meme schema : compromission par vishing, abus d'un connecteur OAuth pour aspirer la base et publication sur le site de leak du groupe. Selon Mandiant et Google Threat Intelligence, ShinyHunters et un cluster baptise UNC6395 sont a l'origine de la majorite de ces operations, avec un taux de paiement de rancon estime entre 20 et 30 pour cent.

Pour les clients et partenaires de Cushman & Wakefield, le risque immediat est triple : reception de phishing personnalise mentionnant des dossiers reels en cours, tentatives de fraude au virement basees sur les coordonnees bancaires presentes dans certains champs Salesforce, et compromission par ricochet via la reutilisation des donnees pour usurper des identites professionnelles. Plusieurs CERT sectoriels recommandent deja aux entreprises ayant recu des prestations du groupe de verifier leurs flux de paiement entrants et sortants pendant les prochaines semaines.

Pourquoi c'est important

L'affaire Cushman & Wakefield illustre une mutation majeure du paysage de la menace : la valeur ne reside plus seulement dans le code source ou les bases de production, mais dans les donnees commerciales hebergees chez les fournisseurs SaaS strategiques. Salesforce, qui concentre les pipelines de vente, les contacts decisionnaires et les notes confidentielles de la quasi-totalite des grandes entreprises occidentales, est devenu en quelques mois la cible de choix de groupes hybrides melant rancongiciel et vol de donnees sans chiffrement. Cette tendance, deja signalee par l'ENISA dans son rapport ETL 2026, change la donne : les RSSI doivent desormais traiter leurs tenants SaaS comme des actifs critiques au meme titre que leurs SI on-premise.

L'origine vishing du compromis est egalement un signal important. Apres des annees a investir dans le MFA, les EDR et la segmentation reseau, les entreprises decouvrent que leur maillon faible se situe dans la couche humaine et dans la chaine de support IT. Les criminels n'ont plus besoin d'exploiter une CVE : un appel bien prepare, parfois assiste par de l'IA generative pour cloner une voix ou rediger un script en temps reel, suffit a obtenir un jeton OAuth. La FTC, le NIST et l'ANSSI ont chacun publie en 2025 et 2026 des guidelines specifiques recommandant le durcissement des procedures helpdesk, la verification multi-canal pour toute reinitialisation et la limitation drastique des permissions par defaut sur les connecteurs Salesforce.

Pour le secteur immobilier, dont Cushman & Wakefield est l'un des poids lourds avec JLL et CBRE, l'incident rappelle un precedent embarrassant : le secteur, percu comme peu sensible cyber il y a encore cinq ans, manipule en realite des donnees ultra-confidentielles sur les implantations, les stocks vacants, les mandats de cession et les valorisations d'actifs corporate. Une fuite de cette nature peut deplacer l'aiguille sur des deals en cours, donner un avantage informationnel a des concurrents et exposer les contreparties a des tentatives de chantage cible. Les regulateurs financiers commencent d'ailleurs a integrer les fournisseurs immobiliers dans le perimetre des analyses de tiers critiques au titre de DORA en Europe et de la regle SEC sur la divulgation des incidents cyber aux Etats-Unis.

Enfin, la double revendication par ShinyHunters et Qilin est un signe que le marche du leak ne se contente plus de l'exclusivite. Plusieurs groupes sondent simultanement les memes entreprises, profitent des memes faiblesses et publient leurs trophees pour entretenir leur reputation. Pour les equipes de defense, cela signifie que la presence d'un acteur identifie ne garantit pas l'absence d'un second, et que la remediation doit balayer l'ensemble des points d'acces, des journaux d'API et des connecteurs tiers, pas uniquement le vecteur initial annonce. Plusieurs CISO interroges par SecurityWeek estiment que la prochaine etape logique sera la federation de ces groupes autour de courtiers d'acces specialises dans le SaaS, ce qui industrialiserait encore davantage les operations de vol de donnees.

Ce qu'il faut retenir

• 500 000 enregistrements Salesforce et 50 Go de donnees ont ete diffuses publiquement apres l'echec de la negociation de rancon.
• L'attaque initiale provient d'une operation de vishing exploitant le helpdesk, pas d'une CVE technique.
• Les contreparties commerciales doivent renforcer la verification des flux de paiement et anticiper une vague de phishing personnalise dans les prochains jours.