Brèche Salesloft–Drift : plus de 700 organisations compromises.

Brèche Salesloft–Drift : Plus de 700 organisations touchées — Un signal d’alarme sur la supply-chain SaaS

Résumé : En août 2025, la compromission de jetons OAuth liés à l’intégration Salesloft–Drift a permis à des attaquants d’accéder à de nombreuses instances Salesforce et d’exfiltrer d’importants volumes de données CRM. Plus de 700 organisations sont concernées selon les rapports publics.

1. Contexte & Chronologie

Entre le 8 et le 18 août 2025, des acteurs malveillants ont utilisé des jetons OAuth/refresh volés pour accéder aux environnements Salesforce connectés via Salesloft–Drift. Les activités observées incluent des exports massifs de contacts, cas support et autres données CRM. Salesforce et éditeurs ont commencé à révoquer des jetons et désactiver l’intégration à la fin août/début septembre 2025.

2. Portée & Victimes Confirmées

Les communiqués publics et articles de presse indiquent que plus de 700 organisations ont été potentiellement impactées. Parmi les victimes confirmées :

  • Cloudflare
  • Palo Alto Networks
  • Zscaler
  • Tanium
  • SpyCloud
  • Proofpoint
  • Tenable
  • Whatfix
  • Workiva
  • JFrog
  • Bugcrowd
  • Esker
  • Sigma
  • Google (quelques comptes Workspace via Drift Email)

3. Méthode d’attaque & Données exfiltrées

Les attaquants ont récupéré des jetons OAuth associés à l’intégration Salesloft–Drift. Ces jetons offrent un accès API de niveau application et permettent d’agir comme une application autorisée, contournant l’authentification utilisateur. Avec ces jetons, les assaillants ont :

  • Exporté d’importants volumes de données CRM (contacts, emails, postes, numéros, cas support).
  • Recherché des secrets intégrés dans les exports (clés API, tokens AWS/Snowflake, identifiants).
  • Tenté d’utiliser les secrets découverts pour escalader les accès.

Exemple : Cloudflare a confirmé la présence de tokens API internes parmi les données exfiltrées et a procédé à leur rotation.

4. Pourquoi c’est important

  1. Risque des tiers SaaS : une intégration peut devenir un vecteur d’attaque à fort impact.
  2. Puissance des jetons OAuth : leur vol équivaut à un accès légitime, souvent difficile à détecter.
  3. Effet de cascade : les données exfiltrées peuvent révéler d’autres secrets et permettre des compromissions supplémentaires.
  4. Impact réputationnel : plusieurs éditeurs de cybersécurité ont été affectés, ce qui fragilise la confiance.

5. Recommandations pratiques

Mesures de réponse et renforcement recommandées :

  • Révoquer et réémettre immédiatement tous les jetons OAuth liés à l’intégration compromise.
  • Auditer les données exportées pour y détecter des secrets ; remplacer toute clé exposée (AWS, Snowflake, API tokens).
  • Renforcer la télémétrie API pour détecter les exports massifs et les comportements anormaux.
  • Appliquer le principe du moindre privilège sur les scopes d’intégration et privilégier des tokens à courte durée de vie.
  • Renforcer la due diligence fournisseur : exigences d’audits réguliers et attestations de sécurité pour les apps tierces.
  • Préparer des mesures anti-phishing : listes de contacts exfiltrées peuvent servir à du spear-phishing ciblé.

6. Conclusion

La brèche Salesloft–Drift rappelle que la sécurité d’une organisation dépend désormais aussi de la gouvernance de ses intégrations SaaS. Les jetons OAuth et applications connectées doivent être traités comme des actifs critiques : inventaire permanent, rotations régulières, scopes limités et surveillance active des APIs. En bref, renforcez la gouvernance des tiers — votre sécurité en dépend.

Sources : Synthèse basée sur publications publiques des éditeurs, enquêtes de threat intelligence et couverture presse spécialisée. Chiffres et listes reflètent l’état des communications publiques au moment de la rédaction.
Étiquettes
Partagez votre amour