Domaine saisi pour la troisième fois alors que la police tente de réprimer le groupe qui revendique un piratage SaaS majeur.
Il y a quelques jours à peine, un message sur le site d’extorsion BreachForums menaçait de divulguer un milliard de documents prétendument volés dans les systèmes Salesforce de 39 des plus grandes entreprises du monde, dont Disney, Toyota, Adidas, McDonalds, IKEA et Home Depot.
Il s’agissait d’une menace que les criminels derrière le site, une super-alliance des groupes de ransomware ShinyHunters, Scattered Spider et LAPSUS$ connus sous le nom de Scattered Lapsus$ Hunters, se sont engagés à mettre à exécution via ses sites Dark Web et Clearnet si Salesforce ne payait pas de rançon avant 23 h 59 HNE le 10 octobre.
« Si Salesforce ne s’engage pas avec nous pour résoudre ce problème, nous ciblerons complètement chacun de leurs clients individuels (sic) répertoriés ci-dessous, le non-respect de ces règles entraînera des conséquences massives », indique un message sur le site de fuite d’origine.
« Si vous figurez dans la liste ci-dessous, nous vous conseillons de prendre toutes les mesures pour vous protéger et de nous contacter pour résoudre ce problème. Ne vous méprenez pas, votre fournisseur SaaS vous protégera tous, il ne le fera pas. »
Pourtant, le 9 octobre, les sites darknet et Clearnet de BreachForums affichaient un message bien différent. « Ce domaine a été saisi », a annoncé une image de retrait de domaine, une action coordonnée conjointement par le ministère américain de la Justice (DoJ), le FBI, l’unité française de cybercriminalité BL2C et le parquet de Paris.
Normalement, plus de détails sur une action policière de cette ampleur seraient publiés par le FBI lui-même, mais le site Internet de l’agence n’est actuellement pas mis à jour en raison de la fermeture du gouvernement américain.
Ce qui semble clair, c’est que la crise est importante, perturbant non seulement les sites BreachForums, mais aussi l’infrastructure back-end, les archives de bases de données et les données de paiement séquestre remontant à 2023.
« BreachForums a été saisi aujourd’hui par le FBI et des partenaires internationaux. Tous nos domaines nous ont été confisqués par le gouvernement américain. L’ère des forums est révolue », a déclaré le groupe Scattered Lapsus$ Hunters dans une déclaration cryptée en PGP sur Telegram.
Tomber et se relever
Ce n’est pas la première fois que BreachForums se retrouve du mauvais côté de l’action policière.
La première saisie de domaine a eu lieu en juin 2023, trois mois après l’arrestation du fondateur présumé de BreachForums, Conor Fitzpatrick, à New York. Le site a été rétabli par ShinyHunters, pour ensuite être fermé pour la deuxième fois en mai 2024. D’autres arrestations ont suivi en 2025. En août, des rapports faisant état de clients Salesforce ciblés par ShinyHunters ont commencé à émerger, aboutissant à la dernière action.
Tout dépend de la question de savoir si le groupe dispose réellement des données annoncées. Il n’y a aucun moyen de le confirmer – les groupes de ransomwares ont l’habitude d’exagérer leurs crimes pour des raisons de publicité – mais aucun moyen de le réfuter non plus.
« Pour le moment, rien n’indique que la plateforme Salesforce a été compromise, et cette activité n’est pas non plus liée à une vulnérabilité connue de notre technologie », a déclaré un porte-parole de Salesforce à Reuters au début du mois.
L’importance du retrait est difficile à évaluer au-delà de sa valeur symbolique, mais elle devrait devenir plus claire dans les semaines à venir, suggèrent les experts.
« Les saisies de domaines fournissent souvent des journaux de serveur, des données utilisateur et des traces de crypto-monnaie qui peuvent contribuer à alimenter les inculpations et les gels d’actifs. La saisie d’aujourd’hui a également le potentiel de perturber les chaînes d’approvisionnement des ransomwares pour les opérations futures », a déclaré Zbyněk Sopuch, CTO du fournisseur de sécurité Safetica Technologies.
Cibler le SaaS
Rik Ferguson, vice-président du renseignement de sécurité chez Forescout, a convenu que toute perturbation serait probablement un revers temporaire.
« Cela vous dit tout sur le modèle actuel : une extorsion portable et sans forum qui s’articule entre Telegram, les domaines jetables et les sites de fuite sur mesure. Supprimer la connexion ne ferme pas l’entreprise. »
Selon Ferguson, « le SaaS est le nouveau rayon d’action », souvent compromis par l’abus de la confiance OAuth et d’application à application dont dépendent ces services interconnectés. Il s’agit d’une surface d’attaque que les attaquants de ransomwares continueront de cibler.
Comment les entreprises doivent-elles se sécuriser ? « Activez la gouvernance des applications OAuth, les étendues de moindre privilège, les limites de durée de vie des jetons et la révocation automatisée lors de la détection d’anomalies, supprimez toute confiance permanente, alternez les clés et les jetons, raccourcissez la durée de vie des sessions et exigez une authentification renforcée pour les actions à haut risque », a conseillé Ferguson.
