En l’espace de quelques semaines, Google a vu son écosystème frappé par trois secousses majeures : une faille critique dans son service Cloud Dataform, une campagne de phishing exploitant Google Classroom et une possible fuite massive de données touchant Gmail. Ces incidents, confirmés par des sources spécialisées, révèlent la fragilité des géants du numérique face à des cybermenaces protéiformes. Entre correctifs d’urgence, exploitation de plateformes éducatives et piratage revendiqué par Shiny Hunters, la sécurité de milliards d’usagers se retrouve une nouvelle fois sur la sellette.

L’été 2025 aura mis à l’épreuve la cybersécurité de Google. Trois événements distincts, mais significatifs, ont ciblé son infrastructure et ses services : une faille critique dans Google Cloud Dataform, une campagne de phishing exploitant Google Classroom, et une possible fuite de données concernant potentiellement des milliards d’utilisateurs de Gmail, démenti par la maison mère Google..

Faille critique dans Google Cloud Dataform

Le 21 août 2025, Google a corrigé une vulnérabilité critique affectant Google Cloud Dataform, référencée sous le numéro CVE-2025-9118. La faille reposait sur un path traversal (CWE-22) qui consiste à « sortir » du dossier prévu par l’application en injectant des chemins tels que « ../../../../../etc/passwd ».

Le problème vient du fait que Google Dataform (un service cloud pour gérer des workflows de données SQL) lit le fichier package.json lors de l’installation de dépendances. Si ce fichier est piégé, il peut contenir des chemins qui obligent le système à écrire ou lire en dehors du répertoire prévu. Vulgairement, un immeuble, ici le Dataform, contient de multiples appartements individuels (les dépôts de différents clients). La faille est semblable à une porte dérobée dans une cloison mal sécurisée. Une personne malveillante peut s’introduire dans n’importe quel logement, en changer ce que bon lui semble, sans y être autorisée.

L’attaquant à distance, sans avoir besoin de se connecter, peut créer un package.json malveillant — fichier qui décrit un paquet logiciel — pour lire ou modifier les fichiers d’autres clients, comme s’il était l’un d’eux. (Crédits : Caio/Pexels)

Google a assuré que tous les clients ont été automatiquement protégés après le déploiement du correctif et qu’aucune action supplémentaire n’était requise de leur part. Le score CVSS 10.0 traduit la gravité maximale, car aucun mot de passe n’était requis, accès aux données privées, modification possible de fichiers.

Campagne massive de phishing

Quelques jours plus tôt, soit entre le 6 et le 12 août 2025, des acteurs malveillants exploitent la plateforme Google Classroom. Leur but : une campagne de phishing à grande échelle. Selon l’entreprise de cybersécurité Armorblox, environ 13 500 organisations à travers le monde ont été ciblées, via l’envoi de plus de 115 000 messages frauduleux.

Le stratagème est aussi simple que redoutable. Les attaquants créent de faux cours dans Google Classroom, puis y intègrent des liens malveillants dissimulés dans des documents ou des annonces. Ces cours sont ensuite partagés par courriel sur des entreprises et administrations.

Leur efficacité repose sur un levier psychologique : la confiance. Venant d’un service légitime, dont le nom de domaine et les certificats ne délivrent pas d’alerte immédiate, tout semble sûr. En réalité, il redirige vers des sites piégés qui distribuent des malwares ou récoltent des identifiants et mots de passe.

Cette attaque, déjà observée, surfe sur une tendance. Détourner les services de confiance pour contourner les filtres de sécurité classiques et surtout tromper les utilisateurs. (Crédits : Pixabay/Pexels)

En détournant l’usage premier de Google Classroom, les cybercriminels hackent le pilier de confiance. Cela rappelle que le plus grand ennemi se cache dans les usages quotidiens. L’attaque exploite ce qu’il y a de plus humain : la confiance, la routine, l’habitude de cliquer sans se méfier, sans regarder. Cette affaire révèle que sans une culture de vigilance partagée par tous, la technologie ne suffira pas. Enfin, selon les révélations de PCWorld, le groupe de pirates Shiny Hunters affirme avoir compromis une base de données associée à Google, en exploitant des accès liés à Salesforce. L’incident aurait exposé les données d’au moins 2,5 milliards d’utilisateurs Gmail, incluant noms, identifiants d’entreprise et autres métadonnées.

Shiny Hunters, qui sont-ils ?

Le nom n’est pas nouveau. Depuis 2020, Shiny Hunters s’est imposé comme un acteur central du cybercrime mondialisé, multipliant les assauts contre des entreprises cotées comme contre des plateformes de niche. Leur stratégie : l’industrialisation de la compromission. Le collectif revendique une série de brèches spectaculaires.

Shiny Hunters est un collectif de cybercriminels qui a émergé en 2020. Célèbre pour des fuites massives — comme Tokopedia (91 millions de comptes volés), Wattpad (271 millions), AT&T (plus de 70 millions), ou encore l’exfiltration de 500 Go de code source Microsoft —, le groupe a rapidement gagné en notoriété. Il s’illustre par sa capacité à transformer les données volées en armes de chantage et de monétisation.

À partir de 2025, leur méthode a profondément évolué. Shiny Hunters a fait un virage stratégique vers le vishing (phishing vocal) ciblant Salesforce. Ainsi, en usurpant l’identité du support IT, ils incitent des employés à installer des programmes malveillants, leur ouvrant l’accès aux CRM de Google, Workday, Cisco, Chanel ou Dior.

(Crédits : BM Amaro/Pexels)

Aujourd’hui, Shiny Hunters est en capacité de mener des campagnes d’exploitation sociale amplifiée par la technologie, avec une finalité économique claire : l’extorsion. Ce collectif n’est plus un simple groupe de pilleurs de données. Il mute en une entreprise criminelle sophistiquée, où l’intelligence sociale (vishing) devient l’une des clés pour pénétrer les bastions du cloud mondial.

Shiny Hunters s’allie à Scattered Spider

Après une année d’inactivité, « Shiny Hunters » refait surface. Silencieux entre juin 2024 et juin 2025, à la suite de l’arrestation de quatre de ses membres, ils signent leurs retours avec une vague d’attaques contre Salesforce.

Selon les révélations de The Hacker News, « le groupe Shiny Hunters, tristement célèbre pour ses fuites massives de données, semble avoir conclu une alliance avec le gang Scattered Spider ». Reliaquest explique que « Shiny Hunters adopte les stratégies emblématiques de Scattered Spider ». Cette collaboration marque une montée en gamme du cybercrime, passant de l’exploitation individuelle à des campagnes de chantage coordonnées ciblant les clients de Salesforce.

Scattered Spider, quant à lui, est un groupe de cybercriminels à but lucratif lié au collectif « The Community » (alias The Com). Initialement connu pour les opérations d’échange de données SIM, le groupe a progressé vers l’exécution de systèmes d’ingénierie sociale complexes. (Crédits : Pixabay/Pexels)

Leurs outils sont une combinaison d’ingénierie sociale et des campagnes d’extorsion, une version 3.0 du cybercrime avec l’aide de l’IA. « Soupçonné d’inclure à la fois les membres Scattered Spider et Shiny Hunters, The Com est un réseau tentaculaire de sous-groupes et de cliques disparates qui s’engagent dans l’activité de prise de contrôle, de SIM-swapping, de vol de cryptomonnaie, et sextortion », explique Reliaquest. Quelles sont les prochaines étapes : le Chaos-as-a-Service ? Face à ces menaces, les États doivent-ils imposer une régulation plus ferme, ou le risque d’un monde numérique moins ouvert serait-il pire que le mal qu’il prétend combattre ?