En bref

  • L'éditeur éducatif américain McGraw Hill a confirmé en avril 2026 une fuite de données touchant environ 13,5 millions d'adresses email uniques, après une tentative d'extorsion.
  • L'origine est une mauvaise configuration d'une page hébergée sur Salesforce, exploitée pour exposer publiquement plus de 100 Go de données.
  • L'incident relance les questions sur la responsabilité partagée dans le SaaS, après une série d'affaires similaires sur Snowflake et Salesforce en 2025-2026.

Ce qui s'est passé

Le groupe d'édition éducative McGraw Hill, l'un des trois acteurs majeurs du manuel scolaire et universitaire aux États-Unis, a confirmé en avril 2026 une violation de données après une tentative d'extorsion. L'entreprise indique que l'incident provient d'une page hébergée sur la plateforme Salesforce, mal configurée, qui exposait « un ensemble limité de données » accessibles publiquement.

D'après les analyses publiées par BleepingComputer et SharkStriker, l'ensemble des fichiers diffusés ensuite sur des forums clandestins dépasse 100 Go et contient 13,5 millions d'adresses email uniques, étalées sur plusieurs jeux de données. Le contenu comprend des inscriptions à des contenus pédagogiques, des informations de contact d'enseignants et d'élèves, et des métadonnées de comptes.

L'affaire s'inscrit dans une vague récente d'incidents liés à des configurations Salesforce trop permissives, après les exfiltrations massives via Snowflake en 2024 et l'affaire Booking.com en avril 2026. McGraw Hill insiste sur le fait que ses systèmes internes n'ont pas été compromis : c'est bien le tenant SaaS qui a servi de point de fuite.

Pourquoi c'est important

13,5 millions d'adresses email d'étudiants et d'enseignants représentent une matière première de premier choix pour le phishing ciblé, l'ingénierie sociale et le bourrage d'identifiants. Au-delà du volume, l'incident illustre une vulnérabilité structurelle : dans le modèle de responsabilité partagée du SaaS, l'éditeur sécurise la plateforme, mais c'est au client de configurer correctement les permissions, sites publics et règles de partage. Une simple case mal cochée sur une expérience Salesforce Sites peut transformer une page interne en source ouverte. Pour les RSSI, l'affaire McGraw Hill rejoint une liste qui s'allonge et impose une revue régulière des objets exposés sur Salesforce, particulièrement les communautés et formulaires publics.

Ce qu'il faut retenir

  • Plus de 100 Go de données et 13,5 millions d'emails se sont retrouvés en libre accès suite à une mauvaise configuration Salesforce.
  • Les systèmes internes de McGraw Hill ne sont pas en cause : le risque vient bien du paramétrage côté client de la plateforme SaaS.
  • Action immédiate côté DSI : auditer les Experience Cloud, Sites et permissions guest user de chaque tenant Salesforce, et activer Shield Event Monitoring sur les téléchargements anormaux.

Salesforce est-il responsable de la fuite McGraw Hill ?

Non. Comme dans le modèle AWS ou Azure, la plateforme garantit l'infrastructure mais le client reste responsable de la configuration. Dans le cas présent, c'est McGraw Hill qui a publié une page Salesforce avec des permissions trop larges, exposant des données qui auraient dû rester restreintes.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact