La plateforme de télémédecine américaine Hims & Hers Health a confirmé une violation de données après que le groupe cybercriminel ShinyHunters a compromis son instance Zendesk entre le 4 et le 7 février 2026. En exploitant un compte SSO Okta détourné, les attaquants ont accédé à des millions de tickets de support client contenant des noms, coordonnées et autres informations personnelles. Si les dossiers médicaux et les communications avec les médecins n'ont pas été touchés selon l'entreprise, l'ampleur de l'exfiltration reste préoccupante pour une société cotée en bourse qui gère les données de santé de millions d'utilisateurs. Hims & Hers propose désormais 12 mois de surveillance de crédit gratuite aux personnes affectées. Cet incident illustre une fois de plus la vulnérabilité des plateformes SaaS tierces comme vecteur d'attaque contre les données sensibles des entreprises.

En bref

  • ShinyHunters a compromis l'instance Zendesk de Hims & Hers via un compte Okta SSO détourné entre le 4 et le 7 février 2026
  • Données exposées : noms, coordonnées et informations personnelles contenues dans les tickets de support — pas de dossiers médicaux compromis
  • Action requise : les entreprises utilisant Zendesk doivent auditer leurs accès SSO et restreindre les permissions des comptes de service

Les faits

L'intrusion a eu lieu du 4 au 7 février 2026 sur l'instance Zendesk de Hims & Hers, une plateforme de télémédecine cotée au NYSE qui propose des consultations en ligne et la livraison de traitements médicaux. Les attaquants du groupe ShinyHunters ont utilisé un compte SSO Okta compromis pour s'authentifier sur le système de support client et exfiltrer massivement les tickets. L'investigation interne, conclue le 3 mars, a confirmé que les données personnelles de clients — noms, adresses email, numéros de téléphone et autres informations liées aux demandes de support — ont été accédées sans autorisation. Source : BleepingComputer.

ShinyHunters est un groupe cybercriminel bien connu, responsable de nombreuses violations de données majeures ces dernières années. Le groupe s'était déjà illustré en volant 350 Go de données à la Commission européenne. Cette nouvelle attaque via Zendesk démontre que les plateformes de support client sont devenues des cibles prioritaires car elles agrègent des données personnelles sensibles avec des contrôles d'accès souvent insuffisants. Le vecteur d'entrée — un compte Okta SSO — rappelle l'importance critique de la gestion des identités, un sujet que nous avions abordé avec les compromissions cloud via credentials volés par TeamPCP.

Impact et exposition

Hims & Hers compte plusieurs millions d'utilisateurs aux États-Unis et traite des données de santé particulièrement sensibles : traitements dermatologiques, santé mentale, santé sexuelle. Même si les dossiers médicaux n'ont pas été directement compromis, les tickets de support peuvent contenir des informations révélatrices sur l'état de santé des utilisateurs — un patient qui contacte le support au sujet de son traitement expose implicitement sa condition médicale. L'incident soulève également des questions sur la conformité HIPAA et sur la responsabilité des sous-traitants SaaS dans la chaîne de protection des données de santé. Pour les entreprises européennes soumises au RGPD, ce type de breach via un prestataire tiers engagerait la responsabilité du responsable de traitement.

Recommandations

  • Auditer immédiatement les accès SSO sur vos plateformes SaaS tierces — révoquer tout compte de service non utilisé ou aux permissions excessives
  • Activer les alertes sur les connexions anormales à Zendesk et autres plateformes de support : géolocalisation inhabituelle, volume de requêtes atypique
  • Minimiser les données personnelles stockées dans les tickets de support — anonymiser ou purger régulièrement les tickets résolus
  • Évaluer la conformité de vos sous-traitants SaaS : exiger des audits SOC 2 et des clauses contractuelles sur la notification de breach

Comment protéger son instance Zendesk contre ce type d'attaque ?

Commencez par restreindre les méthodes d'authentification autorisées : désactivez les accès par mot de passe simple et imposez le SSO avec MFA obligatoire. Configurez des alertes sur les exports massifs de données et les connexions depuis des IP ou géolocalisations inhabituelles. Limitez les permissions des agents au strict nécessaire — tous les agents n'ont pas besoin d'accéder à l'historique complet des tickets. Enfin, activez la journalisation complète et conservez les logs dans un SIEM externe pour détecter les comportements anormaux. Comme nous l'expliquons dans notre article sur les menaces liées au social engineering, la compromission de comptes reste le premier vecteur d'attaque.

Les données de santé dans les tickets de support sont-elles protégées par le RGPD ?

Oui. Le RGPD classe les données de santé comme des données sensibles (article 9) bénéficiant d'une protection renforcée. Même des informations indirectes — comme un ticket mentionnant un traitement spécifique — constituent des données de santé au sens du règlement. Le responsable de traitement reste responsable même si la fuite provient d'un sous-traitant comme Zendesk. La notification à la CNIL doit intervenir dans les 72 heures suivant la prise de connaissance de la violation, et les personnes concernées doivent être informées si le risque pour leurs droits est élevé. L'affaire CareCloud illustre bien les conséquences d'une telle exposition de données patients.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit