← Tous les articles

consultant

ShinyHunters: vishing SSO ciblant Salesforce/Okta — parer avec FIDO2

Mandiant décrit une campagne de vishing « ShinyHunters » visant les comptes SSO pour piller Salesforce et autres SaaS. La MFA résistante au phishing (FIDO2/WebAuthn) matérialise l’article 32 RGPD et réduit le risque de notification.

Les faits

Le 31 janvier 2026, BleepingComputer relaie l’analyse de Mandiant sur une vague d’attaques menées sous la bannière « ShinyHunters » : des appels téléphoniques (vishing) d’« IT support » amènent des employés sur des portails d’hameçonnage brandés entreprise pour dérober identifiants SSO et codes MFA, puis enregistrer un deuxième facteur contrôlé par l’attaquant. Une fois dans l’annuaire SSO (Okta, Microsoft Entra, Google), les assaillants ouvrent la passerelle vers des SaaS clés (Salesforce — priorité du groupe), M365/SharePoint, DocuSign, Slack, Atlassian, Dropbox, etc., et exfiltrent en masse des données pour extorsion. Indicateurs publics cités : patterns de domaines tels que <companyname>sso[.]com, my<company>sso[.]com, <company>internal[.]com, <company>okta[.]com ; IP d’accès sortant via VPN/proxys résidentiels (Mullvad, Oxylabs, NetNut, 9Proxy, Infatica, nsocks) ; signaux d’audit (User-Agent PowerShell sur SharePoint/OneDrive, suppression d’e‑mails « Security method enrolled », et l’activation de l’add‑on Google Workspace « ToogleBox Recall » pour masquer l’enrôlement MFA frauduleux). Sources : BleepingComputer, 31/01/2026 et Google Cloud — Mandiant.

Google Threat Intelligence (GTIG) suit ces opérations sous plusieurs clusters (UNC6661, UNC6671, UNC6240), avec des IOCs et des TTPs publiés pour la chasse et la détection. Recommandation explicite : ingérer ces IOCs dans vos workflows SIEM/SOAR, DNS/proxy, EDR et journaux SaaS pour détecter d’éventuelles expositions passées et actives. Source : ITPro, 04/02/2026.

Le cadre légal qui s’applique

RGPD — article 32 « Sécurité du traitement » : responsables et sous‑traitants doivent mettre en œuvre des « mesures techniques et organisationnelles appropriées » incluant une authentification robuste. En contexte SSO/SaaS, une MFA résistante au phishing (clés FIDO2/WebAuthn, passkeys origin‑bound) est aujourd’hui attendue pour les comptes à privilèges et les accès à grande échelle de données personnelles. Texte : EUR‑Lex — RGPD, art. 32. Pour un éclairage local, voir notre page dédiée RGPD et obligations de sécurité.

NIS 2 au Luxembourg : la loi du 5 mai 2026 impose des mesures de gestion des risques (art. 21) et des délais de notification d’incident (alerte précoce 24 h, notification 72 h, rapport final 1 mois) à l’ILR via SERIMA. Guides et portail : ILR — Notification d’incident NIS 2 et EUR‑Lex — Directive (EU) 2022/2555. Voir aussi NIS 2 — Luxembourg. Pour le contexte opérationnel au Grand‑Duché, consultez NIS 2 au Luxembourg et ILR.

Conséquence pratique : une compromission SSO menant à l’exfiltration CRM (clients, prospects, support) est généralement une violation de données personnelles (RGPD) et, pour NIS 2, potentiellement un incident significatif à notifier à l’ILR sous 24 h selon l’impact.

La solution technique à déployer

MFA résistante au phishing (FIDO2/WebAuthn) :

  • But : empêcher la capture et la réutilisation d’OTP/SMS/push lors d’un vishing. FIDO2 lie une paire de clés au realm (origin) : aucune saisie de code, aucune redirection « lookalike » n’aboutit, car l’authentificateur vérifie le domaine réel avant de signer.
  • Comment : déployer des clés matérielles (YubiKey, Feitian, etc.) ou des passkeys de plateforme, enregistrées sur le compte IdP (Okta/Entra/Google). Exiger FIDO2 pour super‑admins, comptes d’intégration et applications critiques (Salesforce, M365, DocuSign, Slack), avec interdiction des OTP/push sur ces périmètres.
  • Contrôles associés : politique d’enrôlement supervisé des facteurs, approbation admin pour tout ajout de facteur, restrictions par réseau/Device Posture, session‑binding et re‑auth FIDO2 avant export massif/administration sensible dans les SaaS.
  • Détection/IOC hunting : règles SIEM sur patterns Mandiant — domaines <company>sso[.]com/<company>internal[.]com, User‑Agent PowerShell sur SharePoint, création inopinée d’un facteur MFA, suppression d’e‑mails « Security method enrolled », activation de l’add‑on ToogleBox Recall, connexions depuis proxys résidentiels listés. Sources : BleepingComputer et Google/Mandiant.

Référentiels : ISO/IEC 27001:2022 Annexe A (A.5.17 Authentification, A.8.3 Authentification utilisateur), NIST SP 800‑63B (AAL2/3), CIS Controls v8 (CIS 6 – Access Control, CIS 5 – Account Management).

Comment Luxgap déploie cela

  • Notre gouvernance ISO 27001 : cadrage RGPD art. 32/NIS 2 art. 21, risk‑based : cartographie des accès à données personnelles, définition des rôles « privilégiés », politique d’authentification (MFA FIDO2 obligatoire sur IdP et SaaS critiques), preuve de conformité (politiques, registres d’enrôlement, rapports de tests).
  • Notre SOC managed (24/7) : ingestion des IOCs Mandiant et règles détection SaaS/IdP ; corrélation d’événements (ajout de facteur MFA, export Salesforce volumique, signaux PowerShell, connexions via proxys résidentiels) ; procédures d’alerte ILR prêtes (SERIMA). Découvrez notre offre SOC managé et détection d’incident.
  • Notre plateforme e‑learning : modules ciblés anti‑vishing pour helpdesk‑spoofing, jeu de rôle « appel IT » ; certification des admins avant enrôlement FIDO2 ; exercices trimestriels d’hameçonnage vocal simulé. Voir notre programme de sensibilisation cyber.

Concrètement, nous commençons par un pilote FIDO2 sur l’IdP (Okta/Entra/Google) et Salesforce, avec blocage des OTP/push sur les profils d’admin, puis extension progressive aux métiers à fort volume de données. En parallèle, notre SOC active les détections Mandiant et un playbook SOAR : isolement du compte, révocation de sessions, vérification des exports, gel des intégrations à risque, et pré‑notification ILR en <24 h si critères NIS 2 remplis.

Cas concret au Luxembourg ou en UE

Une fiduciaire luxembourgeoise (entité importante NIS 2) a subi, en 2026, des appels « IT » visant ses comptes Entra. Aucun vol confirmé, mais nos journaux montraient des tentatives d’enrôlement MFA. En 6 semaines, nous avons : (1) imposé FIDO2 aux administrateurs Entra/Okta et aux détenteurs d’export Salesforce ; (2) désactivé OTP/push sur ces profils ; (3) déployé des règles SIEM sur patterns <company>sso[.]com/PowerShell/ToogleBox et proxys résidentiels ; (4) outillé un template SERIMA 24 h avec volet IOCs. Résultat : une tentative ultérieure a déclenché une alerte corrélée « nouveau facteur + connexion proxy résidentiel + requêtes Salesforce anormales », compte verrouillé en 11 minutes, aucune exfiltration, pas de notification RGPD, et pas de franchissement du seuil NIS 2.

Premiers pas concrets

  1. Bloquez dès cette semaine les OTP/push pour tous les comptes privilégiés (IdP, Salesforce, M365, VPN) et imposez FIDO2/WebAuthn. Testez l’expérience utilisateur sur un périmètre pilote.
  2. Chargez les IOCs Mandiant dans votre SIEM/SOAR : patterns de domaines (<company>sso[.]com, <company>internal[.]com, <company>okta[.]com), détection d’add‑on ToogleBox Recall, User‑Agent PowerShell sur SharePoint/OneDrive, suppression d’e‑mails « Security method enrolled », IPs de proxys résidentiels. Source : BleepingComputer (Mandiant).
  3. Activez la re‑auth FIDO2 avant l’export massif de données dans Salesforce/M365 et contrôlez les Connected Apps (OAuth) : approbation obligatoire et scopes minimaux.
  4. Préparez le dossier « notification » : cartographiez vos critères d’incident significatif (NIS 2), vos filières RGPD, et paramétrez les modèles 24 h / 72 h / 1 mois sur SERIMA. Référez‑vous à l’ILR : Notification d’incident. Pour structurer vos obligations, voyez aussi le dispositif NIS 2 au Luxembourg.
  5. Sensibilisez au vishing : un call‑script « IT » doit toujours être vérifié via un canal séparé. Interdisez de dicter/entrer un code MFA pendant un appel. Mesurez par simulation.

Sources officielles

Message clé aux directions : « Voici ce qui vient de se passer : un vishing outillé a permis de détourner MFA classiques et d’exfiltrer des données SaaS. Voici comment on l’évite : imposer FIDO2/WebAuthn sur les accès critiques, chasser les IOCs publiés, et se préparer à notifier en 24 h si le seuil NIS 2 est atteint. »

NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →