Charter/Spectrum : vishing, Entra, Salesforce — la MFA FIDO2 comme parade RGPD/NIS 2

Résumé — Le 26–27 mai 2026, Charter Communications (« Spectrum ») a confirmé un incident après des menaces de fuite par ShinyHunters. Selon la presse, l’attaque débute le 1er avril 2026 par du vishing, mène à une prise de compte Microsoft Entra, puis à une exfiltration depuis Salesforce. Les chiffres revendiqués vont jusqu’à ~40 millions d’enregistrements. Sources : TechRadar, analyse de la campagne « Salesforce Aura/Experience Cloud » confirmée par Mandiant (BleepingComputer), récapitulatif grand public (Tom’s Guide).

Les faits

Chaînage observé :

• Vishing pour soutirer un code ou faire approuver une connexion (ou enrôler un nouvel appareil) ;
• Accès au SSO Microsoft Entra ;
• Exploitation d’intégrations SaaS (Salesforce) pour extraire des données via droits, vues ou API.

Ce pattern s’inscrit dans une vague 2025–2026 visant des portails Salesforce mal configurés (Experience Cloud/Aura) et, plus largement, des environnements SSO sans MFA « résistante au phishing ». BleepingComputer.

Le cadre légal qui s’applique

• RGPD — Article 32 : imposer des mesures « appropriées » au risque en tenant compte de l’état de l’art. La MFA robuste est une attente croissante des autorités (voir EDPB — Art. 32, CNPD Luxembourg, CNIL).
• NIS 2 — Article 21 : exigences minimales de gestion des risques, dont l’accès et le contrôle d’identité, avec mention explicite de la MFA dans plusieurs guides (EUR‑Lex — NIS 2).

Conclusion : pour l’UE (Luxembourg, Belgique, France, Allemagne), une MFA résistante au phishing sur les accès critiques est désormais la mesure attendue et vérifiable au titre de l’art. 32 et de l’art. 21.

Pour cadrer et documenter cette conformité, nos équipes DPO certifiées accompagnent la preuve de proportionnalité, tandis que notre CISO externalisé pilote la mise en œuvre opérationnelle côté identité et accès.

La solution technique à déployer

Objectif : neutraliser le social engineering (phishing/vishing/OTP fatigue) via une authentification résistante au phishing, idéalement FIDO2/WebAuthn (clés matérielles ou passkeys avec attestation forte).

• Méthodes autorisées : FIDO2/WebAuthn (clés NFC/USB/Bluetooth type YubiKey, ou passkeys « device‑bound »). Désactiver SMS, appels vocaux et TOTP transcrits.
• Contrôle d’accès conditionnel : exiger FIDO2 pour administrateurs, accès externes, changement d’appareil/emplacement à risque. Bloquer l’enrôlement sans réauthentification forte.
• Attestation et allow‑list AAGUID : n’autoriser que des authentificateurs approuvés (FIPS/CC si requis).
• Sessions et jetons : réduire la durée, activer la token protection si disponible, surveiller OAuth/OIDC (consent phishing, apps malicieuses).
• Journalisation et preuves d’efficacité : centraliser les événements d’authentification, suivre l’adoption et tester périodiquement. L’art. 32 impose l’évaluation de l’efficacité.
• Salesforce : verrouiller les profils invités Experience Cloud, restreindre vues/exports, auditer (AuraInspector/Mandiant), et coupler les droits à des attributs d’identité validés via SSO + MFA FIDO2. Réf. : BleepingComputer.

Ce dispositif s’aligne sur ISO/IEC 27001 (A.5.15, A.5.17, A.8.3), NIST CSF 2.0 (ID.AM‑04, PR.AC‑01…07, DE.AE‑03) et CIS Controls v8 (6, 12, 15). Notre SOC managé consolide les journaux Entra/Okta/Salesforce pour détecter les enrôlements suspects et les tentatives d’accès bloquées.

Comment Luxgap déploie cela

• Gouvernance ISO 27001 : priorisation FIDO2 (administrateurs, accès distants, SaaS critiques), politique d’authentification, attestation des clés et revues trimestrielles (art. 32 / NIS 2 art. 21(f)).
• SOC managé : corrélations avec IOC de vishing, alertes sur enrôlements anormaux, révocations et réinitialisations de sessions.
• DPO et CISO externalisés : alignement RGPD art. 32, documentation des tests d’efficacité, mise à jour des registres et clauses avec sous‑traitants.

Pour les organisations luxembourgeoises soumises à NIS 2, consultez notre synthèse sur NIS 2 au Luxembourg pour croiser les exigences d’accès/multifactor avec vos obligations locales.

Cas concret en UE

Une fiduciaire (entité importante NIS 2) utilisait TOTP/SMS pour collaborateurs et prestataires sur un CRM SaaS. En 6 semaines :

• déploiement FIDO2/WebAuthn pour 100 % des administrateurs et 60 % des utilisateurs exposés ;
• blocage SMS/TOTP sur les accès externes ;
• allow‑list AAGUID et coffre d’urgence « break‑glass » ;
• durcissement Salesforce (profils invités, export, journaux).

Résultat : disparition des « push‑fatigue » et fraudes à l’enrôlement ; indicateurs Art. 32 disponibles (SIEM : adoption, facteurs utilisés, tentatives bloquées). Pour un cadrage réglementaire, voir notre page RGPD et sécurité du traitement.

Premiers pas concrets

1. Cartographier comptes et accès critiques : admins, VPN/RDP, SSO, Salesforce/CRM, exports.
2. Choisir la méthode : FIDO2/WebAuthn par défaut ; bannir SMS/appels ; limiter TOTP au secours.
3. Définir les politiques SSO : FIDO2 pour admins et accès externes ; enrôlement soumis à réauthentification forte ; sessions courtes ; bloquer protocoles hérités.
4. Sécuriser Salesforce : revoir Experience Cloud/« guest users », restreindre les exports, activer l’audit, croiser logs SSO/SaaS.
5. Prouver l’efficacité (Art. 32) : centraliser les logs, fixer des KPI, tester trimestriellement (phishing simulé) et documenter.

Nous pouvons vérifier en 48 heures l’étendue de vos accès critiques et définir un plan FIDO2 compatible métiers et conformité. Contactez‑nous via la page contact.

Sources officielles

• TechRadar — confirmation Charter/Spectrum (27 mai 2026)
• BleepingComputer — campagne Aura (9 mars 2026)
• Tom’s Guide (mai 2026)
• EDPB — RGPD art. 32
• CNPD Luxembourg — Sécurité et art. 32
• CNIL — Recommandations MFA/mots de passe
• EUR‑Lex — NIS 2 art. 21