Imaginez : vous utilisez un logiciel d’analyse parfaitement légitime pour surveiller vos ventes. Ce logiciel est connecté à votre entrepôt de données cloud. Et un beau matin, des hackers utilisent précisément cette connexion de confiance pour siphonner toutes vos données. Pas de virus, pas de phishing, pas de mot de passe deviné — juste une clé numérique volée chez un prestataire tiers. C’est exactement ce qui vient de se passer avec Anodot, Snowflake et le redoutable groupe cybercriminel ShinyHunters — dans l’une des attaques supply chain les plus spectaculaires de 2026.

Un intégrateur SaaS comme porte d’entrée

Le 7 avril 2026, le site spécialisé BleepingComputer révèle qu’une douzaine d’entreprises au minimum ont subi des vols de données massifs après la compromission d’un fournisseur d’intégration SaaS. La cible initiale des hackers : Anodot, une plateforme israélienne d’analyse de données alimentée par l’intelligence artificielle. Fondée pour aider les entreprises à détecter des anomalies en temps réel — une chute soudaine des ventes, un pic de coûts inhabituels, une panne technique imminente — Anodot avait été rachetée en novembre 2025 par la société Glassbox.

Le problème fondamental ? Pour fonctionner, Anodot stockait des tokens d’authentification — ces clés numériques qui lui permettent de se connecter automatiquement aux environnements cloud de ses clients, notamment sur la plateforme Snowflake. Les hackers de ShinyHunters ont réussi à mettre la main sur ces précieux tokens, ce qui leur a ouvert les portes des comptes Snowflake de dizaines d’entreprises, sans avoir besoin du moindre mot de passe ni d’exploiter la moindre vulnérabilité logicielle. C’est une attaque dite « cloud-native » : pas de malware, pas de compromission d’endpoint, juste l’exploitation d’un lien de confiance entre deux services.

« Nous avons récemment détecté une activité inhabituelle au sein d’un petit nombre de comptes clients Snowflake liés à une intégration tierce spécifique. Nous avons immédiatement lancé une enquête et, par précaution, verrouillé les comptes potentiellement impactés. » — Snowflake, déclaration officielle

Une attaque chronométrée au jour férié

ShinyHunters n’a rien laissé au hasard dans l’exécution de cette opération. L’attaque massive a été lancée un vendredi coïncidant avec les congés de Pâques et de Pessah, un moment stratégiquement choisi où les équipes de sécurité informatique fonctionnent en effectif réduit dans de nombreux pays. Ce timing délibéré a vraisemblablement retardé à la fois la détection de l’intrusion et la capacité de réponse des entreprises ciblées.

Dès le samedi matin, les premiers signaux d’alerte sont apparus : la page de statut d’Anodot signalait que tous ses connecteurs étaient hors service dans toutes les régions géographiques — Snowflake, Amazon S3, Amazon Kinesis compris. Le message officiel d’Anodot était sans équivoque : « Nous rencontrons des problèmes dans la collecte de données, et la détection et l’envoi d’alertes d’anomalie. » Un aveu indirect que quelque chose de grave venait de se produire dans leur infrastructure.

Le groupe ShinyHunters n’a pas tardé à revendiquer l’attaque auprès de BleepingComputer, affirmant avoir volé les données de « dizaines d’entreprises » et exigeant désormais des rançons pour ne pas publier les informations dérobées. Fait notable : les hackers ont également tenté d’accéder à des comptes Salesforce avec les mêmes tokens, mais ces tentatives ont été détectées et bloquées par des systèmes de détection basés sur l’IA — une rare bonne nouvelle dans cette avalanche de mauvaises.

Des victimes potentielles de taille mondiale

Bien que la liste complète des victimes n’ait pas été officiellement confirmée, la base clients d’Anodot inclut des noms qui donnent le vertige : Puma, SAP, T-Mobile et UPS. De son côté, Payoneer, autre client d’Anodot, a déclaré être au courant de l’incident mais ne pas avoir été impacté. Google Threat Intelligence Group (ex-Mandiant) a confirmé suivre les développements de l’affaire.

En parallèle, des données prétendument volées à deux grandes banques colombiennes ont été publiées sur DarkForums : Grupo Bancolombia (environ 30 millions de clients en Amérique latine) et Banco de Bogotá (près de 10 millions de clients, plus de 15 000 employés). Les échantillons publiés contiendraient des noms, numéros de téléphone, adresses physiques et détails de connexion — un cocktail explosif pour le vol d’identité.

Ce n’est malheureusement pas la première fois que ShinyHunters frappe via l’écosystème Snowflake. En 2024, le même groupe avait compromis plus de 160 environnements Snowflake, touchant AT&T (70 millions de clients), Ticketmaster (560 millions d’enregistrements volés) et Santander Bank, en exploitant l’absence d’authentification multi-facteurs. Malgré des arrestations, le groupe — décentralisé par nature — continue de frapper avec une efficacité redoutable.

Pourquoi votre PME est directement concernée

Vous vous dites peut-être : « Snowflake, Anodot, ce sont des outils de grandes entreprises, ça ne me concerne pas. » Détrompez-vous. Le mécanisme de cette attaque — exploiter un outil tiers de confiance pour accéder aux données — s’applique à toute entreprise qui connecte des applications entre elles. Et en 2026, quelle entreprise ne le fait pas ?

Votre CRM connecté à votre outil de facturation ? Votre plateforme e-commerce reliée à votre ERP ? Votre outil d’emailing branché sur votre base clients ? Chacune de ces connexions repose sur des tokens, des clés API ou des identifiants partagés. Si un seul maillon de cette chaîne est compromis, c’est tout votre écosystème numérique qui devient accessible aux attaquants.

Les chiffres le confirment : le rapport 2026 de Proton révèle que près d’une PME sur quatre a été victime d’une cyberattaque au cours des 12 derniers mois. Selon SonicWall, les attaques de sévérité haute et moyenne ont bondi de 20,8 % pour atteindre le chiffre vertigineux de 13,15 milliards d’incidents. Et 61 % des petites entreprises ont subi une violation de données l’an dernier. Les PME ne sont plus des cibles secondaires — elles sont devenues le terrain de chasse préféré des cybercriminels, précisément parce qu’elles investissent moins dans la sécurité que les grands groupes.

À retenir

  • L’attaque supply chain via Anodot a permis à ShinyHunters de voler les données de dizaines d’entreprises clientes de Snowflake en utilisant des tokens d’authentification volés — sans exploiter aucune faille logicielle classique.
  • Le timing était calculé : l’attaque a eu lieu pendant les congés de Pâques/Pessah, quand les équipes de sécurité étaient en effectif réduit dans le monde entier.
  • Des géants sont potentiellement touchés : Puma, SAP, T-Mobile, UPS, et deux banques colombiennes totalisant 40 millions de clients.
  • Auditez vos intégrations SaaS dès maintenant : faites l’inventaire complet de toutes les connexions entre vos outils, vérifiez quels tokens sont actifs et révoquez immédiatement ceux qui ne sont plus nécessaires.
  • Activez le MFA partout — absolument partout. C’est le rempart qui a fait la différence entre les entreprises touchées et celles épargnées lors de la campagne de 2024.
  • Exigez la transparence de vos fournisseurs : demandez-leur comment ils protègent vos tokens d’authentification, quelles certifications de sécurité ils détiennent, et quel est leur plan de réponse en cas d’incident.

Photo : Lucas Andrade via Pexels