Des pirates ont exploité des secrets volés pour détourner des intégrations et accéder à des données de clients de Salesforce via des applications tierces compromises. Un problème qui souligne la nécessité pour les entreprises de mener des audits et d’appliquer des mesures de sécurité rigoureuses en matière de tokens.
Salesforce a révélé un nouvel incident de sécurité impliquant un accès non autorisé aux données clients via des applications tierces compromises, impliquant cette fois-ci des applications publiées par l’éditeur CRM Gainsight et connectées à sa plateforme via des intégrations OAuth. La firme de San Francisco a déclaré avoir détecté une activité inhabituelle impliquant des applications Gainsight intégrées à sa plateforme de gestion de la relation client. « Après avoir détecté cette activité, Salesforce a révoqué tous les jetons d’accès et d’actualisation actifs associés aux applications publiées par Gainsight connectées à Salesforce et a temporairement supprimé ces applications de l’AppExchange pendant que notre enquête se poursuit », a déclaré un porte-parole de Salesforce à notre confrère CSO sans préciser le nombre de clients potentiels touchés. La société a souligné que le problème ne provenait pas de sa plateforme. « Rien n’indique que ce problème résulte d’une vulnérabilité de la plateforme Salesforce », a ajouté le porte-parole. « L’activité semble être liée à la connexion externe de l’application à Salesforce. »
Gainsight a confirmé l’incident dans les mises à jour de sa page d’état, indiquant avoir fait appel à Mandiant, une société de cybersécurité appartenant à Google Cloud, pour l’aider à mener une enquête approfondie. « Nos conclusions actuelles indiquent que l’activité faisant l’objet de l’enquête provenait de la connexion externe des applications, et non d’un problème ou d’une vulnérabilité au sein de la plateforme Salesforce », a déclaré la société dans une mise à jour publiée jeudi. Depuis cet incident, l’accès à Gainsight via Salesforce est indisponible et par mesure de précaution l’accès à son connecteur Zendesk a aussi été révoqué et son application temporairement retirée du HubSpot Marketplace.
L’attaque reliée au cybergang ShinyHunters
Cette révélation marque le dernier chapitre d’une escalade d’attaques visant les jetons OAuth d’intégrations SaaS tierces de confiance avec Salesforce. Selon Austin Larsen, analyste principal des menaces chez Google Threat Intelligence Group, cette campagne est liée à des acteurs malveillants associés à ShinyHunters. Ce groupe d’extorsion notoire a pris pour cible à plusieurs reprises l’écosystème Salesforce au cours des derniers mois. « Notre équipe du Google Threat Intelligence Group a observé des acteurs malveillants, liés à ShinyHunters, compromettre des jetons OAuth tiers afin d’obtenir un accès non autorisé aux instances clients de Salesforce », a déclaré M. Larsen dans un message publié sur Linkedin. « Salesforce et Mandiant informent activement les organisations potentiellement concernées. » M. Larsen a souligné que cet incident reflète la récente campagne visant Salesloft Drift, dans le cadre de laquelle des adversaires ont exploité les jetons OAuth d’intégrations SaaS légitimes pour contourner les contrôles de sécurité traditionnels. Selon DataBreaches.net, ShinyHunters a confirmé son implication dans la campagne Gainsight et affirme que les campagnes Salesloft et Gainsight combinées ont touché près de 1 000 entreprises, parmi lesquelles Verizon, GitLab, F5 et SonicWall. Cependant, ni Salesforce ni Gainsight n’ont attribué cet incident à ShinyHunters.
Le lien technique entre l’incident actuel et la violation d’août est apparu plus clairement grâce à l’analyse de Nudge Security, une plateforme de sécurité SaaS. Selon l’alerte de sécurité de Nudge Security, ShinyHunters a obtenu des jetons OAuth Gainsight grâce à des secrets volés dans les données des dossiers d’assistance de Salesloft/Drift. À l’aide de ces tokens compromis, les attaquants en auraient émis d’autres pour 285 instances Salesforce liées à Gainsight. La violation de Salesloft Drift en août a exposé environ 760 entreprises au vol de données, les attaquants ayant volé des jetons OAuth et les ayant utilisés pour accéder aux instances Salesforce de centaines de sociétés. Parmi les victimes figuraient de grandes entreprises telles que Google, Cloudflare, Qantas, Cisco et TransUnion. Gainsight lui-même figurait parmi les victimes de cette campagne antérieure.
Des risques liés à la chaîne d’approvisionnement des intégrations SaaS
Gainsight, une plateforme CRM en customer success management, est largement déployée parmi les clients Salesforce, lui fournit des outils qui s’intègrent directement pour synchroniser les données clients et automatiser les workflows d’engagement. Ces intégrations nécessitent généralement un accès OAuth aux informations de compte, aux enregistrements de contacts, aux données sur les opportunités et aux mesures d’utilisation pour l’évaluation de la santé et l’analyse de la fidélisation. Cet incident souligne le risque croissant que représente la chaîne d’approvisionnement des intégrations SaaS, où un seul fournisseur compromis peut servir de passerelle vers des dizaines d’environnements en aval. Pour les RSSI et les équipes de sécurité, M. Larsen a souligné la nécessité de prendre des mesures immédiates au-delà du simple incident Gainsight. « Toutes les organisations devraient considérer cela comme un signal pour auditer leurs environnements SaaS », a-t-il déclaré, recommandant aux équipes de sécurité d’examiner régulièrement toutes les applications tierces connectées aux instances Salesforce, d’enquêter et de révoquer les jetons des applications inutilisées ou suspectes, et de supposer une compromission si une activité anormale est détectée. Selon Sanchit Vir Gogia, analyste en chef et CEO de Greyhound Research, ces attaques sont efficaces car les jetons OAuth fonctionnent sous les couches d’authentification traditionnelles. « La compromission des jetons OAuth est l’un des vecteurs d’attaque les plus dangereux dans l’écosystème SaaS moderne, car elle abuse de la confiance plutôt que de contourner les défenses […] Une fois qu’un pirate informatique a acquis un jeton, il peut se faire passer pour une application ou un utilisateur légitime au niveau de la couche API, où la plupart des entreprises ont le moins de couverture de surveillance », a expliqué M. Gogia.
La plupart des jetons OAuth ont une longue durée de vie, souvent sans expiration, et comportent des autorisations plus étendues que ne le pensent les administrateurs. « Comme ces jetons fonctionnent comme une infrastructure plutôt que comme des comptes d’utilisateurs surveillés, leur compromission permet l’exfiltration silencieuse de données de grande valeur sur de longues périodes. Les attaques ne se comportent pas comme des intrusions classiques, mais opèrent plutôt avec une légitimité héritée, ce qui les rend particulièrement difficiles à détecter », poursuit M. Gogia. Cet incident fait suite à une série d’événements liés à la sécurité de Salesforce tout au long de l’année 2025, notamment une vulnérabilité de l’agent IA en septembre qui pouvait être exploitée par des attaques par injection de prompt, et des risques de configuration découverts dans Salesforce Industry Cloud qui pouvaient exposer les informations chiffrées des clients. En octobre, ShinyHunters a lancé un site dédié aux fuites de données dans le but d’extorquer Salesforce et ses clients avec des données volées lors de campagnes précédentes.