McGraw Hill confirme en avril 2026 une fuite de 13,5 millions d'emails liée à une mauvaise configuration Salesforce, après une tentative d'extorsion.
En bref
- L'éditeur éducatif américain McGraw Hill a confirmé en avril 2026 une fuite de données touchant environ 13,5 millions d'adresses email uniques, après une tentative d'extorsion.
- L'origine est une mauvaise configuration d'une page hébergée sur Salesforce, exploitée pour exposer publiquement plus de 100 Go de données.
- L'incident relance les questions sur la responsabilité partagée dans le SaaS, après une série d'affaires similaires sur Snowflake et Salesforce en 2025-2026.
Ce qui s'est passé
Le groupe d'édition éducative McGraw Hill, l'un des trois acteurs majeurs du manuel scolaire et universitaire aux États-Unis, a confirmé en avril 2026 une violation de données après une tentative d'extorsion. L'entreprise indique que l'incident provient d'une page hébergée sur la plateforme Salesforce, mal configurée, qui exposait « un ensemble limité de données » accessibles publiquement.
D'après les analyses publiées par BleepingComputer et SharkStriker, l'ensemble des fichiers diffusés ensuite sur des forums clandestins dépasse 100 Go et contient 13,5 millions d'adresses email uniques, étalées sur plusieurs jeux de données. Le contenu comprend des inscriptions à des contenus pédagogiques, des informations de contact d'enseignants et d'élèves, et des métadonnées de comptes.
L'affaire s'inscrit dans une vague récente d'incidents liés à des configurations Salesforce trop permissives, après les exfiltrations massives via Snowflake en 2024 et l'affaire Booking.com en avril 2026. McGraw Hill insiste sur le fait que ses systèmes internes n'ont pas été compromis : c'est bien le tenant SaaS qui a servi de point de fuite.
Pourquoi c'est important
13,5 millions d'adresses email d'étudiants et d'enseignants représentent une matière première de premier choix pour le phishing ciblé, l'ingénierie sociale et le bourrage d'identifiants. Au-delà du volume, l'incident illustre une vulnérabilité structurelle : dans le modèle de responsabilité partagée du SaaS, l'éditeur sécurise la plateforme, mais c'est au client de configurer correctement les permissions, sites publics et règles de partage. Une simple case mal cochée sur une expérience Salesforce Sites peut transformer une page interne en source ouverte. Pour les RSSI, l'affaire McGraw Hill rejoint une liste qui s'allonge et impose une revue régulière des objets exposés sur Salesforce, particulièrement les communautés et formulaires publics.
Ce qu'il faut retenir
- Plus de 100 Go de données et 13,5 millions d'emails se sont retrouvés en libre accès suite à une mauvaise configuration Salesforce.
- Les systèmes internes de McGraw Hill ne sont pas en cause : le risque vient bien du paramétrage côté client de la plateforme SaaS.
- Action immédiate côté DSI : auditer les Experience Cloud, Sites et permissions guest user de chaque tenant Salesforce, et activer Shield Event Monitoring sur les téléchargements anormaux.
Salesforce est-il responsable de la fuite McGraw Hill ?
Non. Comme dans le modèle AWS ou Azure, la plateforme garantit l'infrastructure mais le client reste responsable de la configuration. Dans le cas présent, c'est McGraw Hill qui a publié une page Salesforce avec des permissions trop larges, exposant des données qui auraient dû rester restreintes.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris · Habilitation Confidentiel Défense
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur GINA — le module d'authentification de Windows NT4 — et auteur de la version française du guide de sécurité Windows NT4 pour la NSA, il a forgé son expertise au cœur même des systèmes qui protègent des millions d'utilisateurs. Expert Judiciaire auprès de la Cour d'Appel de Paris et titulaire de l'Habilitation Confidentiel Défense, il intervient sur les dossiers les plus sensibles.
À la tête d'Ayi NEDJIMI Consultants, il dirige des missions de pentest d'infrastructures complexes, d'audit Active Directory, de rétro-ingénierie de malwares et de forensics numérique pour les forces de l'ordre et le secteur privé. Conférencier international (Europe & US), il a formé plus de 10 000 professionnels et réalisé plus de 100 missions d'audit — des PME aux grands groupes du CAC 40.
Certifié Microsoft MVP, Cisco CCIE, Juniper JNCIE-SEC et instructeur CEH, il développe également des solutions d'IA sur mesure (RAG, agents LLM, fine-tuning) et publie régulièrement des analyses techniques, guides méthodologiques et outils open source de référence.
Ressources & Outils de l'auteur
Articles connexes
170 procureurs ukrainiens piratés par des hackers liés à la Russie
Reuters révèle le 16 avril 2026 la compromission de 170 boîtes mail de procureurs et enquêteurs ukrainiens par des hackers liés à la Russie. 284 intrusions documentées sur 18 mois.
Cookeville Regional Medical Center : 337 917 patients touchés par Rhysida
Cookeville Regional Medical Center (Tennessee) a notifié le 16 avril 2026 plus de 337 000 patients d'une fuite de données suite à un ransomware Rhysida survenu en juillet 2025. 500 Go exfiltrés.
Ni8mare : faille CVSS 10.0 dans n8n (CVE-2026-21858)
Une vulnérabilité maximale CVSS 10.0 dans la plateforme d'automatisation n8n permet la prise de contrôle non authentifiée. Cyera Research la baptise Ni8mare. Toutes les versions antérieures à 1.121.0 sont concernées.
Commentaires (1)
Laisser un commentaire