← Tous les articles

consultant

Charter: 4,9 M d’emails exposés — la MFA anti‑phishing s’impose

Un vishing a permis d’abuser un compte Microsoft Entra et d’exfiltrer des données clients depuis Salesforce. La MFA FIDO2/WebAuthn devient l’état de l’art attendu par l’article 32 RGPD.

Par Cyber Luxgap 04/06/2026

Le 27 mai 2026, Charter Communications (Spectrum) a confirmé une fuite de données revendiquée par ShinyHunters. Selon les informations publiques, l’attaque a commencé le 1er avril 2026 via du vishing ciblant un employé, permettant d’abuser un compte Microsoft Entra, puis d’accéder à Salesforce pour en extraire des données (noms, emails, adresses, téléphones, plans, tickets). Charter affirme qu’aucune « information sensible » n’a été prise, mais les attaquants revendiquent 40+ millions d’enregistrements. Mozilla Monitor / HIBP a recensé env. 4,9 M d’adresses email uniques — une fuite vérifiable. Sources: TechRadar, Mozilla Monitor / HIBP, Tom’s Guide.

En résumé: une identité à privilèges suffisants, compromise par ingénierie sociale, a ouvert l’accès à un SaaS critique et permis l’exfiltration en masse — un schéma récurrent en 2025–2026 (contournement d’une MFA par vishing, AiTM, token replay ou device‑code). (techradar.com)

Le cadre légal applicable

  • RGPD — Article 32: mesures techniques et organisationnelles « appropriées au risque », selon l’état de l’art, incluant résilience et tests réguliers. Pour des services exposés à l’ingénierie sociale et l’accès distant, une MFA résistante au phishing est devenue la référence. Texte: EUR‑Lex — RGPD art. 32. Pour mettre en œuvre les exigences de l’article 32 du RGPD, la preuve d’efficacité et la traçabilité sont clés.
  • Doctrine européenne (ENISA): privilégier FIDO2/cartes à puce plutôt que SMS/appel/OTP, vulnérables au vishing et au détournement de session. Réf.: ENISA Threat Landscape 2023 et recommandations conjointes.

Au Luxembourg et dans l’UE, ces attentes se cumulent avec NIS 2 et, pour les entités surveillées, des exigences sectorielles de proportionnalité et de gouvernance démontrable.

La réponse technique: MFA phishing‑resistant (FIDO2/WebAuthn)

Objectif: empêcher qu’un secret réutilisable (mot de passe, OTP, code vocal) n’ouvre l’accès à des SaaS critiques en cas de vishing, proxy man‑in‑the‑middle ou interception de session.

Fonctionnement

  • Authentificateurs FIDO2 (clés matérielles ou passkeys) avec cryptographie à clé publique et origin binding; pas de « code » réutilisable.
  • WebAuthn/CTAP2: défi‑réponse signé, attaché au domaine; pas de validation sur un faux site.
  • Intégration SSO: politiques FIDO2‑only/high assurance conditionnelles (Salesforce, Google Workspace, M365, ServiceNow) avec step‑up et restrictions d’appareil.
  • Gouvernance: alignement ISO/IEC 27001:2022 (A.5.17, A.8.23, A.8.24) et NIST SP 800‑63B (IAL/AAL).

Contrôles concrets

  • Résilience au vishing/AiTM: aucun OTP ni code vocal à divulguer; signature non transférable.
  • Traçabilité: journaux d’auth FIDO2 et politiques AAD/Okta exploitables pour audits RGPD/NIS 2.
  • Réduction de surface: désactivation SMS/voix/OTP applicatifs; restrictions d’appareil; second facteur matériel pour exports Salesforce et tokens API.
  • Continuité: 2 clés FIDO2 par personne; coffre HSM de secours; procédures d’onboarding/récupération robustes.

Comment Luxgap déploie

  • Gouvernance ISO 27001: cartographie des SaaS critiques, niveaux AAL2+/AAL3, politiques « phishing‑resistant only », preuves exigées par l’art. 32.
  • SOC managé 24/7: télémétrie Entra ID/Okta, corrélation (impossible travel, enrôlements FIDO2 anormaux, tentatives non‑WebAuthn), quarantaine via SOAR.
  • Formation: modules ciblés anti‑vishing et « bons réflexes MFA » via notre sensibilisation cyber et phishing simulé, utiles pour NIS 2/CSSF.

Parcours projet en 6–10 semaines: cadrage IdP/SaaS, pilote FIDO2/WebAuthn, bascule progressive avec désactivation des facteurs faibles, mise en conformité documentaire et tests d’efficacité (campagnes AiTM contrôlées).

Cas concret au Luxembourg/UE

Une fiduciaire luxembourgeoise (entité importante NIS 2, multi‑SaaS) exposait des exports CRM vers des partenaires.

  • Politique FIDO2‑only pour CRM et email; second facteur matériel obligatoire pour l’export.
  • Désactivation SMS/voix et OTP applicatifs; 2 clés FIDO2 par personne, gestion de perte via service desk/coffre HSM.
  • Journaux WebAuthn reliés au SIEM avec alertes sur toute tentative non conforme.

Résultat: les campagnes de vishing suivantes ont échoué à franchir l’authentification; les exports sensibles exigent désormais une preuve matérielle traçable à l’audit.

Premiers pas

  1. Cartographier les 10 applications « à forte valeur » (CRM, ERP, M365, Google Workspace, RH) et y exiger FIDO2/WebAuthn.
  2. Désactiver SMS/appels/OTP; activer « phishing‑resistant only » et le step‑up pour exports et tokens API.
  3. Distribuer 2 clés FIDO2 aux rôles critiques; prévoir une récupération robuste.
  4. Journaliser IdP + SaaS vers un SIEM; alerter sur enrôlements, échecs répétés, authent non‑WebAuthn.
  5. Former les équipes au vishing et aux callbacks IT; simuler un appel malveillant et mesurer le signalement.

Sources officielles

Message aux dirigeants, DSI, CISO, DPO: l’affaire Charter montre qu’un simple appel peut suffire à contourner des OTP. Passer à une MFA résistante au phishing est la mise à niveau vérifiable attendue par l’article 32 — et le meilleur antidote à la prochaine fuite.

cybersecurite solution mfa fido2 rgpd phishing data-breach
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos donnees ne sont jamais partagees. Conformite RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →