Cushman & Wakefield : 50 Go Salesforce dumpés par ShinyHunters après vishing

Les faits

Cushman & Wakefield, l'un des trois plus gros cabinets mondiaux de conseil en immobilier d'entreprise, a confirmé début mai 2026 avoir subi une compromission de ses environnements Salesforce. Le groupe ShinyHunters a publiquement revendiqué l'attaque sur son site d'extorsion le 1er mai, suivi le 4 mai par le groupe Qilin, considéré comme russophone et aligné sur les intérêts du Kremlin. Cette double revendication, sans collaboration apparente entre les deux groupes, suggère soit un partage de l'accès via un courtier d'accès initial, soit deux compromissions distinctes durant la même fenêtre temporelle.

Le vecteur d'entrée a été confirmé par Cushman & Wakefield dans une déclaration officielle au Register le 5 mai : il s'agit d'une attaque de vishing, c'est-à-dire d'un phishing téléphonique ciblé. Un employé du support interne aurait été contacté par téléphone par un attaquant se faisant passer pour un membre légitime de l'équipe informatique, avant de fournir des identifiants ou de valider une demande de réinitialisation MFA. Cette technique, largement industrialisée depuis 2024 par les groupes affiliés à Scattered Spider puis reprise par ShinyHunters, contourne efficacement les protections techniques en exploitant la confiance entre collègues et la pression hiérarchique simulée.

ShinyHunters a annoncé avoir exfiltré plus de 500 000 enregistrements Salesforce contenant des données personnelles identifiables et des informations corporate internes. Après expiration du délai d'ultimatum fixé au 6 mai et l'absence de paiement de rançon par Cushman & Wakefield, le groupe a commencé à publier l'ensemble du jeu de données. Le dump complet, d'un volume de 50 gigaoctets, a été mis à disposition publique sur l'infrastructure d'extorsion de ShinyHunters le 12 mai 2026.

L'analyse préliminaire du contenu par plusieurs équipes de threat intelligence indique que la fuite comprend les adresses email professionnelles des brokers Cushman & Wakefield, de leurs clients institutionnels, des prestataires de services référencés et des contreparties commerciales sur de multiples transactions immobilières. Chaque enregistrement inclut suffisamment de contexte relationnel — historique de communications, étapes de négociation, montants approximatifs — pour permettre la fabrication de messages de fraude crédibles. Le risque immédiat n'est pas la donnée personnelle au sens strict, mais l'industrialisation de campagnes de business email compromise contre l'ensemble de l'écosystème exposé.

Cette compromission s'inscrit dans la vague d'attaques contre les instances Salesforce qui a frappé plus de trente grandes entreprises depuis janvier 2026, incluant TransUnion, AT&T, et plusieurs assureurs européens. Le mode opératoire est désormais établi : reconnaissance OSINT sur LinkedIn pour identifier des cibles humaines, appel téléphonique convaincant prétendant venir du helpdesk, exfiltration massive via les API Salesforce ou les rapports d'export natifs, puis extorsion en double extorsion avec publication menacée puis effective si non-paiement.

Qilin, le second groupe à avoir revendiqué l'attaque, opère selon un schéma ransomware-as-a-service classique mais s'est récemment réorienté vers l'extorsion sans chiffrement pour les cibles à fort capital de marque. La présence simultanée de ShinyHunters et Qilin sur le même victim listing pose la question de l'origine réelle de l'accès : il est possible qu'un courtier d'accès initial ait vendu les identifiants à plusieurs acheteurs, ou qu'un affilié ait travaillé pour les deux groupes.

Cushman & Wakefield n'a pas confirmé publiquement le nombre exact d'enregistrements compromis ni le périmètre géographique des données exposées. Le cabinet opère dans plus de soixante pays et gère des portefeuilles immobiliers pour des fonds d'investissement, des entreprises du CAC 40 et des administrations. Les notifications réglementaires en cours, sous le coup du RGPD pour la portion européenne et du CCPA pour les données californiennes, devraient préciser dans les semaines à venir le périmètre exact.

Impact et exposition

Sont concernés en premier lieu les contacts professionnels présents dans les bases Salesforce de Cushman & Wakefield : brokers internes, équipes commerciales, mais aussi clients corporate, locataires institutionnels, vendeurs et prestataires référencés. Le risque opérationnel principal est une vague de business email compromise dans les semaines à venir, exploitant le contexte relationnel détaillé contenu dans les enregistrements fuités.

Pour les directions financières des entreprises clientes de Cushman & Wakefield, le risque concret est qu'un attaquant se fasse passer pour un gestionnaire immobilier référencé en citant un dossier réel, et redirige un paiement de loyer ou de prestation vers un compte tiers. Ce type d'attaque a déjà été observé après les compromissions Salesforce précédentes, avec des préjudices unitaires régulièrement supérieurs à 100 000 euros.

Recommandations

• Identifier en interne les interlocuteurs Cushman & Wakefield référencés dans votre SI et leur signaler la situation par un canal hors-bande (téléphone, rendez-vous physique)
• Renforcer temporairement les contrôles à quatre yeux sur tout changement de RIB ou de coordonnées bancaires concernant des prestataires immobiliers
• Briefer les équipes commerciales et achats sur la possibilité d'emails de fraude contextualisée dans les 4 à 8 semaines à venir
• Vérifier la configuration MFA sur les instances Salesforce internes — privilégier des facteurs résistants au phishing (FIDO2, Passkeys) plutôt que SMS ou push simple
• Auditer les procédures de réinitialisation d'identifiants au support : exiger une vérification par canal alternatif vérifiable, pas seulement une confirmation orale