ShinyHunters a compromis l'instance Zendesk de Hims & Hers via un compte Okta SSO détourné, exfiltrant des millions de tickets contenant des données personnelles de clients.
La plateforme de télémédecine américaine Hims & Hers Health a confirmé une violation de données après que le groupe cybercriminel ShinyHunters a compromis son instance Zendesk entre le 4 et le 7 février 2026. En exploitant un compte SSO Okta détourné, les attaquants ont accédé à des millions de tickets de support client contenant des noms, coordonnées et autres informations personnelles. Si les dossiers médicaux et les communications avec les médecins n'ont pas été touchés selon l'entreprise, l'ampleur de l'exfiltration reste préoccupante pour une société cotée en bourse qui gère les données de santé de millions d'utilisateurs. Hims & Hers propose désormais 12 mois de surveillance de crédit gratuite aux personnes affectées. Cet incident illustre une fois de plus la vulnérabilité des plateformes SaaS tierces comme vecteur d'attaque contre les données sensibles des entreprises.
En bref
- ShinyHunters a compromis l'instance Zendesk de Hims & Hers via un compte Okta SSO détourné entre le 4 et le 7 février 2026
- Données exposées : noms, coordonnées et informations personnelles contenues dans les tickets de support — pas de dossiers médicaux compromis
- Action requise : les entreprises utilisant Zendesk doivent auditer leurs accès SSO et restreindre les permissions des comptes de service
Les faits
L'intrusion a eu lieu du 4 au 7 février 2026 sur l'instance Zendesk de Hims & Hers, une plateforme de télémédecine cotée au NYSE qui propose des consultations en ligne et la livraison de traitements médicaux. Les attaquants du groupe ShinyHunters ont utilisé un compte SSO Okta compromis pour s'authentifier sur le système de support client et exfiltrer massivement les tickets. L'investigation interne, conclue le 3 mars, a confirmé que les données personnelles de clients — noms, adresses email, numéros de téléphone et autres informations liées aux demandes de support — ont été accédées sans autorisation. Source : BleepingComputer.
ShinyHunters est un groupe cybercriminel bien connu, responsable de nombreuses violations de données majeures ces dernières années. Le groupe s'était déjà illustré en volant 350 Go de données à la Commission européenne. Cette nouvelle attaque via Zendesk démontre que les plateformes de support client sont devenues des cibles prioritaires car elles agrègent des données personnelles sensibles avec des contrôles d'accès souvent insuffisants. Le vecteur d'entrée — un compte Okta SSO — rappelle l'importance critique de la gestion des identités, un sujet que nous avions abordé avec les compromissions cloud via credentials volés par TeamPCP.
Impact et exposition
Hims & Hers compte plusieurs millions d'utilisateurs aux États-Unis et traite des données de santé particulièrement sensibles : traitements dermatologiques, santé mentale, santé sexuelle. Même si les dossiers médicaux n'ont pas été directement compromis, les tickets de support peuvent contenir des informations révélatrices sur l'état de santé des utilisateurs — un patient qui contacte le support au sujet de son traitement expose implicitement sa condition médicale. L'incident soulève également des questions sur la conformité HIPAA et sur la responsabilité des sous-traitants SaaS dans la chaîne de protection des données de santé. Pour les entreprises européennes soumises au RGPD, ce type de breach via un prestataire tiers engagerait la responsabilité du responsable de traitement.
Recommandations
- Auditer immédiatement les accès SSO sur vos plateformes SaaS tierces — révoquer tout compte de service non utilisé ou aux permissions excessives
- Activer les alertes sur les connexions anormales à Zendesk et autres plateformes de support : géolocalisation inhabituelle, volume de requêtes atypique
- Minimiser les données personnelles stockées dans les tickets de support — anonymiser ou purger régulièrement les tickets résolus
- Évaluer la conformité de vos sous-traitants SaaS : exiger des audits SOC 2 et des clauses contractuelles sur la notification de breach
Comment protéger son instance Zendesk contre ce type d'attaque ?
Commencez par restreindre les méthodes d'authentification autorisées : désactivez les accès par mot de passe simple et imposez le SSO avec MFA obligatoire. Configurez des alertes sur les exports massifs de données et les connexions depuis des IP ou géolocalisations inhabituelles. Limitez les permissions des agents au strict nécessaire — tous les agents n'ont pas besoin d'accéder à l'historique complet des tickets. Enfin, activez la journalisation complète et conservez les logs dans un SIEM externe pour détecter les comportements anormaux. Comme nous l'expliquons dans notre article sur les menaces liées au social engineering, la compromission de comptes reste le premier vecteur d'attaque.
Les données de santé dans les tickets de support sont-elles protégées par le RGPD ?
Oui. Le RGPD classe les données de santé comme des données sensibles (article 9) bénéficiant d'une protection renforcée. Même des informations indirectes — comme un ticket mentionnant un traitement spécifique — constituent des données de santé au sens du règlement. Le responsable de traitement reste responsable même si la fuite provient d'un sous-traitant comme Zendesk. La notification à la CNIL doit intervenir dans les 72 heures suivant la prise de connaissance de la violation, et les personnes concernées doivent être informées si le risque pour leurs droits est élevé. L'affaire CareCloud illustre bien les conséquences d'une telle exposition de données patients.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Qilin revendique le vol de données du parti allemand Die Linke
Le ransomware Qilin revendique le vol de données du parti allemand Die Linke. Données internes et personnelles des employés exfiltrées après une intrusion le 26 mars.
Interlock exploite un zero-day Cisco FMC CVSS 10 depuis janvier
Le ransomware Interlock exploite CVE-2026-20131 (CVSS 10.0) dans Cisco FMC comme zero-day depuis janvier 2026. Correctif disponible, patching urgent requis.
SparkCat : un malware vole les cryptos depuis les stores mobiles
Le malware SparkCat refait surface sur l'App Store et Google Play, utilisant l'OCR pour voler les phrases de récupération de portefeuilles crypto.
Commentaires (1)
Laisser un commentaire