Fuite McGraw-Hill 45M : l'ère des erreurs SaaS

Publié le avril 18, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

McGraw-Hill a confirmé le 14 avril 2026 qu’une mauvaise configuration d’une page hébergée par Salesforce a exposé des données clients après la revendication de 45 millions d’enregistrements volés par le groupe d’extorsion ShinyHunters. Have I Been Pwned a vérifié de façon indépendante 13,5 millions de comptes touchés à partir de 100 Go+ de fichiers fuités ; les données exposées sont des informations de contact (noms, adresses, téléphones, e-mails), pas des SSN ni des données financières.

En résumé : Les entreprises qui exploitent Salesforce devraient commander immédiatement un audit des permissions Guest User et imposer une revue de sécurité avant publication de toute page Experience Cloud ou communautaire.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’AlgérieMoyen▾

Salesforce et les CRM SaaS similaires sont largement adoptés dans les banques, les télécoms et les sociétés de services algériennes ; les mêmes mauvaises configurations Guest User et Experience Cloud qui ont exposé McGraw-Hill existent dans de nombreux tenants locaux.

Infrastructure prête ?Partiel▾

La plupart des entreprises algériennes disposent de Salesforce ou d’un CRM équivalent, mais peu ont déployé des outils de SaaS Security Posture Management (SSPM) ou intégré la télémétrie Salesforce dans un SOC.

Compétences disponibles ?Limité▾

Les admins Salesforce se concentrent sur la fonctionnalité ; les compétences spécialisées en posture de sécurité Salesforce sont rares en Algérie et exigent typiquement un partenaire d’audit externe.

Calendrier d’action6-12 mois▾

Les entreprises algériennes fortement Salesforce devraient commander un audit de posture de sécurité dans les deux prochains trimestres et intégrer une porte de revue pré-publication pour toute nouvelle page communautaire.

Parties prenantes clésRSSI, administrateurs Salesforce, propriétaires de produit CRM, audit interne

Type de décisionStratégique▾

Ce n’est pas une correction ponctuelle — elle exige de monter une pratique SSPM, d’ajouter des portes de revue et de surveiller en continu la dérive de configuration SaaS.

En bref : Les RSSI algériens qui exploitent Salesforce devraient commander un audit immédiat des permissions Guest User, imposer une revue de sécurité pré-publication sur chaque page Experience Cloud ou communautaire, et évaluer un outil SSPM (AppOmni, Obsidian, Adaptive Shield) sur les deux prochains trimestres. La prochaine fuite dans la plupart des entreprises viendra d’une page SaaS publique, pas d’un zero-day APT.

Une mauvaise configuration Salesforce qui s’étend à 13,5 millions de comptes

McGraw-Hill a publiquement confirmé le 14 avril 2026 qu’elle avait « identifié un accès non autorisé à un ensemble limité de données issues d’une page hébergée par Salesforce sur sa plateforme ». La confirmation n’est venue qu’après la menace du groupe d’extorsion ShinyHunters de publier 45 millions d’enregistrements volés si une rançon n’était pas versée. ShinyHunters a ensuite publié — et le débordement a été mesurable de façon indépendante : Have I Been Pwned rapporte 13,5 millions de comptes ajoutés à son index depuis plus de 100 Go de fichiers fuités, selon la couverture de BleepingComputer et de The Register.

L’écart entre la revendication de 45M par ShinyHunters et le chiffre de 13,5M vérifié de façon indépendante est typique du reporting des groupes d’extorsion — les attaquants gonflent les chiffres, les défenseurs les sous-estiment. Le fait important n’est pas lequel est correct, mais qu’une seule page mal configurée hébergée par Salesforce a alimenté des millions d’enregistrements dans une fuite publique.

Ce que contiennent réellement les données exposées

The Record from Recorded Future News résume ce que McGraw-Hill dit être exposé : noms, adresses physiques, numéros de téléphone et adresses e-mail. L’analyse de TechRepublic précise ce qui n’est pas exposé : numéros de sécurité sociale, informations de comptes financiers et données d’étudiants issues des plateformes éducatives. Cette frontière compte. La gravité d’une fuite dépend fortement du fait que les données volées soient des données personnelles réglementées (qui exigent notification formelle et amendes) ou des données de contact (qui alimentent le phishing mais déclenchent moins de conséquences légales).

Pour le business de McGraw-Hill, le risque pragmatique est le phishing multi-étapes : les attaquants savent déjà que la victime utilise des produits McGraw-Hill, connaissent ses coordonnées et peuvent fabriquer des fraudes à la facture, des phishings de réinitialisation de mot de passe ou des e-mails d’usurpation de fournisseur très crédibles. Les données « à faible sensibilité » ne sont à faible risque que jusqu’au moment où un adversaire les combine avec d’autres fuites.

Pourquoi l’écosystème Salesforce est la nouvelle crise SaaS

Ce n’est pas un problème isolé à McGraw-Hill. The Record note que la mauvaise configuration Salesforce a « touché plusieurs organisations » ces dernières semaines — ShinyHunters scanne systématiquement les pages Salesforce exposées à travers leur base clients. L’analyse d’incident de Rescana cadre cela comme un problème structurel : les clients Salesforce déploient régulièrement des pages Experience Cloud, des portails communautaires et des formulaires publics sans mesurer qu’ils exposent des enregistrements de la base CRM sous-jacente.

La recette classique de mauvaise configuration Salesforce, récurrente à travers les fuites des trois dernières années :

Profils Guest User trop permissifs qui accordent un accès non authentifié à trop d’objets.
Classes Apex « without sharing » exposées à des endpoints publics.
Pages communautaires publiques qui exposent involontairement des record IDs via des appels API.
Pas de limitation de débit ni de détection d’anomalie sur les lectures agrégées depuis des endpoints publics.

Quand ces conditions se combinent, un scanner public peut énumérer de gros volumes de données CRM sans casser aucun système d’authentification.

Leçons de gouvernance pour les entreprises qui exploitent Salesforce

La couverture de Security Magazine souligne que McGraw-Hill « a sécurisé les pages concernées immédiatement » après détection. C’est la bonne réponse à incident mais le mauvais signal de gouvernance — la mauvaise configuration existait en premier lieu parce qu’aucune revue de sécurité pré-publication ne l’a attrapée. Quatre items de gouvernance que toute entreprise fortement Salesforce devrait imposer maintenant :

Revue obligatoire de posture de sécurité Salesforce avant toute mise en ligne de page communautaire/Experience Cloud. Utilisez l’outillage propre à Salesforce (Health Check, Security Center) plus un outil tiers de gestion de posture (AppOmni, Obsidian, Adaptive Shield).
Audit trimestriel des Guest User. Le profil Guest User devrait avoir l’accès objet minimal absolu. La plupart des fuites exploitent des permissions qui n’auraient jamais dû exister.
Outillage équivalent CSPM pour SaaS. Les concepts de Cloud Security Posture Management (référentiels de configuration, détection de dérive, scan continu) s’appliquent désormais aux plateformes SaaS — pas seulement à AWS et Azure.
DLP sur la sortie SaaS. Microsoft Defender for Cloud Apps, Netskope ou Varonis peuvent détecter les lectures en masse depuis des endpoints Salesforce et alerter avant que l’exfiltration complète ne s’achève.

Comment ShinyHunters s’insère dans le paysage d’extorsion 2026

ShinyHunters a évolué du credential-stuffer opportuniste à une opération d’extorsion systématique qui traite les mauvaises configurations SaaS comme une surface d’attaque industrialisée. Le rapport de SC Media cadre McGraw-Hill comme un incident dans une séquence d’événements liés à Salesforce rattachés à la même campagne. The National CIO Review catalogue le schéma ShinyHunters plus large : choisir une plateforme SaaS avec des problèmes systémiques de configuration, scanner à l’échelle, extorquer au plus haut.

L’implication stratégique pour les RSSI est claire : la prochaine grande fuite dans votre environnement viendra probablement non d’un zero-day sophistiqué mais d’une page SaaS que quelqu’un du marketing ou du produit a déployée le trimestre dernier sans impliquer la revue de sécurité.

Ce que cela signifie pour la gestion des risques en entreprise

L’incident McGraw-Hill accélérera trois bascules déjà en cours. Premièrement, le SaaS Security Posture Management (SSPM) passera du « nice to have » à l’outillage de base en entreprise. Deuxièmement, Salesforce et ses concurrents subiront une pression pour livrer des valeurs par défaut plus sûres — moins de permissions accordées par défaut aux profils Guest, avertissements plus agressifs à la publication de pages publiques. Troisièmement, les souscripteurs cyber-assurance ajouteront l’attestation de configuration SaaS à leurs questionnaires, créant des incitations financières pour les entreprises à documenter leur posture.

ShinyHunters n’a pas piraté McGraw-Hill. Une page publique a fait le travail pour eux. C’est le problème de sécurité SaaS 2026 en une phrase.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Pourquoi une mauvaise configuration Salesforce a-t-elle exposé autant d’enregistrements ?

La plateforme Salesforce permet aux clients de publier des pages communautaires et Experience Cloud qui puisent des données dans le CRM sous-jacent. Si ces pages accordent un accès Guest User trop permissif, utilisent des classes Apex « without sharing » ou exposent des record IDs via des appels API publics, un attaquant non authentifié peut énumérer de gros volumes de données sans casser aucune authentification. C’est le schéma que ShinyHunters a exploité chez McGraw-Hill et chez d’autres clients Salesforce.

Quelles données McGraw-Hill a-t-elle réellement perdues ?

Selon McGraw-Hill et la couverture de The Record et TechRepublic, les données exposées incluent noms, adresses physiques, numéros de téléphone et adresses e-mail. Elles n’incluent PAS les numéros de sécurité sociale, les informations de comptes financiers ni les données d’étudiants des plateformes éducatives de McGraw-Hill. Si cette frontière limite l’impact réglementaire formel, les données de contact fuitées alimentent tout de même des campagnes de phishing très ciblées parce que les attaquants savent que les victimes sont clientes de McGraw-Hill.

Qu’est-ce que le SaaS Security Posture Management (SSPM) et en avons-nous besoin ?

Le SSPM est une catégorie d’outils (AppOmni, Obsidian, Adaptive Shield, Salesforce Security Center) qui scannent en continu les configurations SaaS — permissions, pages publiques, intégrations, OAuth grants — à la recherche de déviations risquées par rapport à une baseline. Il applique les concepts de Cloud Security Posture Management aux SaaS. Toute entreprise qui exploite Salesforce, Microsoft 365, Google Workspace, ou un grand parc SaaS avec fonctionnalités communautaires/publiques devrait évaluer le SSPM : la dérive de configuration est la cause dominante de fuite en SaaS, et les audits manuels la ratent.