Le groupe cybercriminel ShinyHunters a revendiqué la responsabilité d’une potentielle violation de données impliquant la plateforme d’apprentissage en ligne Udemy, affirmant avoir obtenu plus de 1,4 million d’enregistrements contenant des informations sensibles. Cette affirmation reste non vérifiée et aucune confirmation officielle n’a été émise par l’entreprise.
Selon le post de menace publié sur le site de fuites du dark web du groupe, les attaquants affirment avoir exfiltré des informations personnelles identifiables ainsi que des données internes à l’entreprise. Le groupe a émis un ultimatum « payez ou fuite », avertissant que les données pourraient être rendues publiques si ses exigences ne sont pas satisfaites dans un délai imparti.
Le message, publié le 24 avril 2026, inclut une date limite au 27 avril pour la réponse d’Udemy. La menace suit un schéma communément associé à ShinyHunters, qui s’est forgé une réputation autour de campagnes d’extorsion ciblant de grandes organisations.
Au moment de la réclamation, le groupe n’avait pas fourni de preuves à l’appui, telles que des échantillons de données ou des captures d’écran qui auraient généralement permis de valider la violation. L’absence de preuve laisse entrevoir une incertitude quant à l’ampleur et à la légitimité de l’incident, bien que des affirmations similaires du groupe aient parfois précédé des divulgations confirmées.
ShinyHunters est connu pour cibler les plateformes SaaS et les grandes entreprises, combinant souvent vol de données et tactiques d’extorsion. Le groupe a déjà revendiqué la responsabilité de violations touchant de grandes organisations et a été lié à des incidents impliquant des millions de dossiers exposés dans plusieurs secteurs.
L’incident présumé d’Udemy reflète une tendance plus large dans les opérations de cybercriminalité, où les attaquants privilégient l’exfiltration de données plutôt que la perturbation du système. En se concentrant sur des ensembles de données sensibles tels que les informations des utilisateurs et les documents internes, les acteurs malveillants peuvent tirer parti des dommages à la réputation et des risques réglementaires pour faire pression sur les organisations afin qu’elles paient des rançons.
Si elle est confirmée, la violation pourrait avoir des répercussions sur la base d’utilisateurs mondiale d’Udemy, qui comprend des millions d’apprenants et d’enseignants. L’exposition de données personnelles pourrait augmenter le risque d’attaques de phishing, de vol d’identité et d’autres formes de fraude ciblée.
À ce jour, la situation reste au stade de la réclamation, sans vérification indépendante ni analyse technique détaillée disponible. Les experts en sécurité recommandent généralement la prudence dans l’interprétation de telles annonces jusqu’à ce que des preuves supplémentaires ou des déclarations officielles confirment l’ampleur et l’impact de la violation alléguée.