Cushman & Wakefield : 50 Go Salesforce volés par vishing

Ce qui s'est passé

Cushman & Wakefield, l'un des trois plus grands cabinets de conseil en immobilier commercial au monde avec environ 52 000 collaborateurs et un chiffre d'affaires annuel proche des 10 milliards de dollars, vient de voir 50 Go de données internes publiés sur le data leak site du groupe extorqueur ShinyHunters. La publication, intervenue cette semaine après l'expiration d'un ultimatum fixé au 6 mai, met fin à plusieurs jours de négociations infructueuses et confirme la version la plus pessimiste de l'incident initialement reconnu par le groupe au début du mois.

Le scénario d'attaque, désormais documenté par plusieurs équipes de réponse à incident, démarre par un appel de vishing — voice phishing — passé à un employé interne disposant d'un accès privilégié à l'instance Salesforce du cabinet. Le mode opératoire reprend point pour point la signature observée depuis l'été 2025 contre Pure Storage, Allianz Life, Cisco, Workday et plus récemment Adidas : un opérateur appelle en se faisant passer pour le support IT, persuade la cible d'ouvrir un connecteur OAuth tiers — généralement une fausse application "Data Loader" — puis exfiltre rapidement des objets Salesforce entiers via l'API Bulk.

Sur le plan technique, ShinyHunters ne s'appuie pas ici sur une vulnérabilité de la plateforme Salesforce mais sur la confiance accordée à un utilisateur métier. Une fois le jeton OAuth obtenu, le pillage s'effectue sans alerte de connexion suspecte puisque toutes les requêtes restent authentifiées, signées et dans les quotas. Les analystes qui ont récupéré l'archive divulguée évoquent des fichiers structurés correspondant aux objets Account, Contact, Opportunity, Lease et Custom, soit le cœur du référentiel commercial : noms de baux, montants de loyers négociés, conditions confidentielles, échanges relatifs aux fusions-acquisitions immobilières et données personnelles des contacts.

Le compte à rebours de l'extorsion a suivi un schéma désormais classique. Le 1er mai, ShinyHunters revendique la compromission sur son blog Tor et annonce 500 000 enregistrements. Cushman & Wakefield publie le 5 mai un communiqué reconnaissant un "incident de sécurité limité dû à du vishing" tout en assurant que les opérations restent normales. Le 6 mai à minuit, fin du délai. Le 4 mai, troisième rebondissement : le gang Qilin liste à son tour le cabinet sur son propre site de fuite, ce qui laisse penser soit à une revente d'accès initial entre les deux groupes, soit à une seconde intrusion concurrente. Cette superposition de revendications devient un marqueur récurrent des opérations Salesforce de 2026.

D'après les premières inspections de l'archive, environ 50 Go au format CSV et JSON sont concernés. On y trouve plusieurs millions de lignes mêlant identifiants directs (noms, e-mails professionnels, numéros de téléphone), métadonnées de transactions immobilières (adresses de sites, surfaces, étapes de négociation, dossiers de due diligence), ainsi que des chaînes de courriels de relation client exportées en pièce jointe Salesforce. Les chercheurs ayant accédé à des échantillons confirment la présence de pipelines commerciaux non clôturés — donc de transactions encore en cours au moment de l'exfiltration —, ce qui aggrave considérablement le risque concurrentiel.

Cushman & Wakefield n'a pas encore communiqué de bilan définitif sur le nombre de personnes notifiables ni sur le périmètre exact. Selon le quotidien The Register et la presse spécialisée, l'entreprise a engagé des conseils externes en réponse à incident et coopère avec les autorités américaines et britanniques compétentes. Aucune rançon n'a été versée selon le cabinet, ce qui explique la publication intégrale du dataset — la posture standard observée dans la quasi-totalité des campagnes ShinyHunters de l'année.

Cette attaque s'ajoute à une chaîne d'incidents Salesforce d'ampleur depuis l'été 2025, dont les victimes connues incluent désormais Toyota, Cisco, Workday, Allianz, Air France-KLM, Adidas, Qantas et plus récemment Instructure-Canvas. Salesforce lui-même a publiquement reconnu que le pattern d'attaque visait les utilisateurs autorisés et non la plateforme, et a multiplié les notifications à ses clients pour durcir les politiques OAuth, désactiver les Connected Apps non utilisées et exiger la validation manuelle des nouveaux connecteurs. Le CERT-FR avait également publié en avril un bulletin dédié à cette typologie de compromission.

Pour les responsables sécurité, l'affaire Cushman & Wakefield illustre une fois de plus que la frontière de l'entreprise s'est déplacée hors du périmètre traditionnel. L'adversaire ne perce plus un pare-feu : il décroche un téléphone et obtient en quinze minutes ce qu'aucune chaîne d'exploit n'aurait permis aussi vite. La vraie surface d'attaque, ce sont les humains autorisés à charger un connecteur, et les politiques de gouvernance autour des plateformes SaaS critiques.

Pourquoi c'est important

Le cas Cushman & Wakefield n'est pas isolé : il marque l'entrée d'un acteur majeur du secteur immobilier dans une vague d'attaques Salesforce qui, depuis dix-huit mois, redessine la cartographie des risques cyber pour toutes les organisations dépendantes d'un CRM cloud. Les groupes ShinyHunters et Scattered Spider — souvent suspectés de partager des ressources humaines et techniques — ont fait du vishing leur premier vecteur, parce qu'il contourne toutes les défenses techniques classiques. Aucun EDR ne détecte un appel téléphonique, aucun pare-feu n'inspecte une conversation orale, et l'authentification multifacteur cède dès que l'employé approuve lui-même la requête.

L'affaire pose aussi une question structurelle sur la sécurité des plateformes Salesforce installées chez les entreprises de service B2B. Un cabinet immobilier travaille par nature sur des dossiers confidentiels : conditions de baux non encore signées, dossiers de cession, due diligence d'actifs valorisés à plusieurs centaines de millions d'euros. La concentration de cette intelligence économique dans un CRM accessible depuis n'importe quel navigateur web, avec des dizaines de connecteurs OAuth potentiellement actifs, crée un point unique de défaillance dont peu de directions ont mesuré l'impact. Le dataset publié n'est pas qu'un risque RGPD ; c'est une arme de négociation pour les concurrents et les contreparties commerciales pour des années.

Sur le plan réglementaire, Cushman & Wakefield doit composer avec un patchwork de juridictions. L'entreprise opère dans plus de 60 pays, ce qui implique des obligations de notification potentiellement parallèles auprès du Royaume-Uni (ICO), de l'Union européenne via le RGPD pour les établissements stables, des États américains aux lois de notification disparates, et désormais de plusieurs marchés asiatiques. Les amendes potentielles dépendront de la sensibilité réelle des données personnelles exfiltrées et de la rapidité de notification, mais le précédent récent de South Staffordshire (964 000 livres infligées par l'ICO pour le hack Cl0p) montre que les régulateurs ne traitent plus ces incidents avec mansuétude, même lorsque la victime est elle-même victime d'un crime.

Enfin, l'épisode renforce une recommandation que les équipes Defender, Beyond Identity, Okta et CrowdStrike répètent depuis 2025 : la sécurité Salesforce doit être traitée comme une infrastructure critique, avec un inventaire permanent des Connected Apps, une politique d'approbation des nouveaux connecteurs, du logging IP applicatif corrélé à un SIEM, et surtout une politique de sensibilisation au vishing aussi sérieuse que les programmes anti-phishing par e-mail. Les contrôles préventifs incluent le verrouillage par défaut des exports massifs, l'alerting sur Bulk API, l'usage de phishing-resistant MFA (clés FIDO2) pour les comptes administrateurs CRM, et la séparation stricte des rôles Setup / Data Loader.

Ce qu'il faut retenir

• Le vishing reste, en 2026, le moyen le plus rapide et le moins technique d'ouvrir une porte légitime vers une instance SaaS critique — il faut le traiter comme un risque majeur, pas comme une simple variante du phishing.
• Toute organisation utilisant Salesforce doit dresser l'inventaire complet de ses Connected Apps, désactiver celles inutilisées et exiger une validation manuelle pour toute nouvelle autorisation OAuth.
• La sensibilité d'un CRM commercial dépasse largement la conformité RGPD : les pipelines de transactions sont des données stratégiques dont la fuite peut compromettre des années de négociations.