En bref

  • ShinyHunters revendique le vol de près d'1 pétaoctet de données chez TELUS Digital via une attaque supply-chain initiée en 2025 par la compromission de Salesloft Drift
  • Données exfiltrées : enregistrements audio de support client, code source, vérifications FBI, données RH — impactant des centaines d'entreprises clientes BPO
  • Action immédiate : si vous êtes client TELUS Digital, révoquer les tokens OAuth Salesloft/Drift et auditer vos intégrations cloud tierces

Le 12 mars 2026, TELUS Digital — filiale de Business Process Outsourcing (BPO) du géant canadien des télécommunications TELUS, opérant dans de nombreux pays dont la France et l'Europe — a confirmé avoir subi une violation de données d'une ampleur exceptionnelle. Le groupe cybercriminel ShinyHunters revendique le vol de près d'un pétaoctet de données, soit environ 1 000 téraoctets, ce qui en ferait l'une des plus grandes exfiltrations jamais documentées publiquement. La particularité de cette attaque réside dans sa nature supply-chain : le vecteur initial n'était pas TELUS Digital elle-même, mais Salesloft Drift, un outil de chatbot B2B tiers utilisé par l'entreprise. Les attaquants ont compromis cette plateforme dès 2025, volé des tokens OAuth liés aux intégrations TELUS, puis utilisé l'outil open-source TruffleHog pour scanner automatiquement les données récupérées et y découvrir d'autres credentials — leur permettant de pivoter vers les buckets Google Cloud Platform de TELUS Digital et d'exfiltrer des données en toute discrétion pendant plusieurs mois. Une demande de rançon de 65 millions de dollars a été émise et refusée par TELUS Digital, faisant planer le risque d'une publication ou d'une revente des données sur des forums criminels.

Les faits : chronologie d'une attaque supply-chain en plusieurs phases

L'attaque contre TELUS Digital illustre la sophistication croissante des chaînes d'attaque modernes. Selon les analyses publiées par BleepingComputer, la séquence se déroule en cinq temps : d'abord la compromission de la plateforme Salesloft Drift en 2025 et le vol de tokens OAuth associés aux intégrations TELUS ; ensuite l'utilisation de TruffleHog pour découvrir des credentials supplémentaires enfouis dans les données récupérées ; puis l'accès aux buckets Google Cloud Platform de TELUS Digital via ces credentials chaînés ; suivi de l'exfiltration silencieuse sur plusieurs mois de volumes massifs de données ; et enfin la divulgation publique et la demande de rançon en mars 2026. Le volume exfiltré comprend des enregistrements audio de conversations de support client pour des centaines d'entreprises clientes, du code source propriétaire de TELUS Digital, des données de vérifications FBI (antécédents judiciaires des employés), des informations financières de clients BPO et des données Salesforce de multiples organisations tierces, comme le rapporte The Register. Cette attaque par credential chaining rappelle la campagne Shai-Hulud 2 sur la supply chain NPM et le vecteur de compromission OAuth documenté dans notre analyse des fuites SoundCloud et Inotiv.

Impact et exposition : les clients BPO en première ligne

Recommandations immédiates

  • Si vous êtes client TELUS Digital : contacter immédiatement votre interlocuteur pour évaluer l'étendue de l'exposition de vos données clients
  • Révoquer et régénérer tous les tokens OAuth associés à des intégrations Salesloft / Drift dans vos environnements cloud
  • Scanner vos dépôts de code et buckets cloud avec TruffleHog ou équivalents pour détecter des secrets enfouis (credentials, tokens, API keys)
  • Auditer l'ensemble de vos intégrations SaaS tierces — les tokens OAuth sont un vecteur de compromission supply-chain sous-estimé
  • Mettre en œuvre une politique de rotation régulière des credentials cloud (90 jours maximum) et de révocation automatique des tokens inactifs
  • Évaluer vos obligations de notification RGPD sous 72 heures si des données personnelles européennes sont impliquées (article 33)
  • Activer la journalisation avancée sur vos buckets Google Cloud Platform et définir des alertes sur les volumes d'accès anormaux

Point clé à retenir

L'attaque TELUS Digital démontre qu'un token OAuth volé chez un fournisseur tiers peut servir de point d'entrée pour compromettre les systèmes cloud d'une organisation pendant des mois sans déclencher d'alerte. L'audit régulier des intégrations OAuth et la rotation des credentials sont des pratiques non négociables pour toute organisation multi-cloud.

Comment savoir si notre organisation est parmi les clients BPO de TELUS Digital dont les données ont été exfiltrées ?

Contactez directement votre interlocuteur chez TELUS Digital pour demander une confirmation écrite de l'étendue de la violation concernant vos données. Parallèlement, vérifiez dans vos contrats de sous-traitance les clauses de notification en cas de violation (généralement 72h sous RGPD). Si vous utilisez Salesloft Drift comme outil d'intégration, révoquez immédiatement les tokens OAuth associés et vérifiez les journaux d'accès à vos systèmes cloud pour identifier d'éventuels accès non autorisés entre mi-2025 et mars 2026.

TruffleHog peut-il être utilisé légalement pour protéger nos propres environnements ?

Oui, TruffleHog est un outil open-source de sécurité offensive utilisé légalement par les équipes de sécurité pour scanner leurs propres dépôts de code et environnements cloud à la recherche de secrets exposés (clés API, tokens, mots de passe). Son utilisation dans le cadre d'un audit de sécurité interne ou d'un test d'intrusion autorisé est une pratique recommandée. Les attaquants l'utilisent également sur des données volées — d'où l'importance de ne jamais stocker de credentials en clair dans du code ou des buckets cloud, et d'activer les outils de détection de secrets comme GitHub Secret Scanning ou GitGuardian.

Que faire si vous êtes victime de cette violation de données ?

Les personnes concernées doivent : surveiller leurs relevés bancaires et rapports de crédit pour détecter toute activité anormale, activer les alertes de transaction sur leurs comptes, et envisager un gel préventif de leur crédit. Si des numéros de sécurité sociale sont impliqués, déposer une plainte préventive pour usurpation d'identité auprès des autorités compétentes. Conserver toutes les communications reçues de l'organisation concernant cet incident.

Comment les organisations peuvent-elles prévenir ce type d'intrusion ?

La prévention repose sur plusieurs piliers : la segmentation réseau pour limiter le mouvement latéral, la surveillance continue des accès aux systèmes contenant des données sensibles, l'application du principe de moindre privilège, et des alertes sur les volumes d'exfiltration anormaux. Les tests de pénétration réguliers et les exercices de réponse à incident permettent d'identifier les lacunes avant qu'elles ne soient exploitées.

Quelles données ont été compromises et quels sont les risques associés ?

Les données exposées incluent des informations d'identification personnelle (PII) : noms, adresses, numéros d'identification, données financières ou médicales. Ces informations permettent des attaques de phishing ciblé, d'usurpation d'identité et de fraude financière. Les données restent exploitables pendant des années après leur vol, rendant la vigilance à long terme indispensable pour les victimes.

Ressources sur la gestion des violations de données

Vos intégrations cloud sont-elles sécurisées ?

Ayi NEDJIMI réalise des audits de sécurité cloud et supply-chain pour identifier vos tokens OAuth exposés, vos credentials enfouis et vos vecteurs de compromission avant les attaquants.

Demander un audit