Le problème du passe-partout : la faille de Salesloft et la menace persistante

En septembre 2025, le FBI a publié une alerte Flash signalant que deux groupes criminels - UNC6395 et UNC6040 - compromettaient activement des instances Salesforce dans différents secteurs d'activité.

UNC6395 a compromis Salesloft via l'intégration Salesloft-Drift et a ensuite pivoté à travers cette connexion de confiance pour accéder aux données de Salesforce. UNC6040, quant à lui, mène une campagne de vishing qui incite les utilisateurs de Salesforce à approuver une application connectée malveillante (souvent déguisée en Data Loader) afin d'obtenir un accès direct aux environnements Salesforce.

Le nombre d'organisations touchées par UNC6395 s'élève à plus de 700 dans le monde, dont des entreprises de cybersécurité telles que Zscaler, Palo Alto Networks, Proofpoint, Cloudflare et Tenable.  

Ce qui n'est pas clair, c'est l 'étendue de la campagne de UNC6395 - ou la quantité exacte d'informations sensibles encore en jeu.  

Nous savons que les données Salesforce volées alimentent désormais les tentatives d'extorsion. Un groupe de menace a lancé un site de fuite de données demandant une rançon aux entreprises dont les dossiers clients ont été mis en ligne. Salesforce a déclaré publiquement qu'elle ne paierait pas les demandes d' extorsion.

Il n'est pas certain que ces nouvelles fuites proviennent directement des activités de l'UNC6395, mais un fait est clair : une fois les informations d'identification volées, les dossiers qu'elles permettent de déverrouiller peuvent refaire surface à plusieurs reprises.

"Depuis l'époque des mots de passe jusqu'à celle des certificats, la principale question a toujours été de savoir comment gérer et conserver l'intégrité des clés", explique Michael Adjei, directeur de l'ingénierie des systèmes chez Illumio. "Ce problème n'a pas disparu, il n'a fait que s'amplifier dans un monde interconnecté.

Quand une clé de confiance ouvre le royaume

L'arme d'UNC6395 était des jetons OAuth volés à partir des intégrations Salesloft (une plateforme d'engagement commercial qui synchronise les appels, les courriels et les chats dans Salesforce) - en particulier par le biais de la connexion du chatbot Drift.

Grâce à ces jetons, les attaquants ont obtenu un accès de confiance au niveau API à Salesforce et à d'autres environnements liés, interrogeant discrètement les données, exfiltrant des contacts, des dossiers et même des informations d'identification comme les clés AWS, les secrets VPN et les jetons Snowflake.

Google conseille désormais de considérer tous les jetons émis par Drift comme compromis.

Le périmètre n'est plus votre pare-feu

Si une intégration est la serrure et un jeton OAuth la clé, que se passe-t-il lorsque cette clé tombe entre de mauvaises mains ?

Les entreprises modernes dépendent de systèmes étroitement connectés. Lorsqu'une intégration est violée, d'autres peuvent rapidement être exposées.

Un simple compromis dans une connexion CRM peut révéler des données clients, des cas d'assistance ou des fichiers stockés dans des outils de productivité. Les informations d'identification et les clés d'API laissées dans les notes ou les tickets peuvent alors ouvrir l'accès aux environnements en nuage.

La plupart des piles d'entreprise relient les CRM, les plateformes d'engagement, les outils de chat et le stockage en nuage. Chaque connexion améliore l'efficacité, mais élargit également le chemin qu'un attaquant peut emprunter.

Une fois le jeton volé, l'attaquant devient effectivement l'intégration légitime, en contournant complètement le MFA, les journaux d'audit et les réinitialisations de mot de passe.

Pourquoi les jetons OAuth sont en or

Les jetons OAuth confèrent un accès délégué - de par leur conception. Mais cette même conception crée un point faible : une fois la confiance accordée, elle est rarement révoquée.

"Les jetons à longue durée de vie survivent souvent aux employés, aux fournisseurs ou même aux outils qui les ont créés, laissant des portes invisibles ouvertes entre les systèmes", a déclaré M. Adjei.

Des appels à l'API qui ont l'air normaux

Les logiciels malveillants sont bruyants ; les appels d'API sont silencieux.

Dans cette brèche, les attaquants se sont cachés, émettant des requêtes SOQL et Bulk API qui imitaient des opérations légitimes.

"Les API sont comme une voiture aux vitres teintées : les gens pensent que c'est vous qui êtes à l'intérieur", a déclaré M. Adjei. "La seule façon de savoir si c'est le cas, c'est d'ouvrir la porte.

Comme ces demandes provenaient d'intégrations valides, le système les a traitées comme étant bénignes. Cela rend la détection difficile : les actions de l'attaquant se fondent dans l'activité normale de l'entreprise.

"De nombreuses organisations ne connaissent même pas toutes les applications et intégrations utilisées", a ajouté M. Adjei. "Les jetons peuvent avoir été mis en place il y a plusieurs années et n'avoir jamais été remplacés. Cette combinaison d'informatique parallèle et d'accès de longue durée signifie que l'exposition peut durer des mois".

De SolarWinds à Salesloft

Contrairement à SolarWinds, où les attaquants ont glissé un code malveillant dans une mise à jour logicielle, UNC6395 n'a pas eu besoin d'écrire une seule ligne de logiciel malveillant. Au contraire, ils ont exploité la confiance elle-même.

"SolarWinds a été une véritable prise de conscience", a déclaré M. Adjei. "Elle a prouvé l'efficacité du ciblage du maillon le plus faible : un fournisseur hautement intégré. Si vous compromettez cela, vous avez accès à de nombreuses organisations à la fois".

Le passage des attaques de la chaîne d'approvisionnement basées sur le code, comme celle de SolarWinds, à celles basées sur les jetons marque un changement de paradigme : il n'est plus nécessaire de s'introduire par le biais de logiciels malveillants lorsque les clés existent déjà.

Qui est à l'origine de la violation

L'analyse des renseignements sur les menaces permet de retracer l'accès initial à l'UNC6395 - des cybercriminels motivés par des raisons financières.  Bien que certains aient noté le chevauchement du groupe avec l'intérêt de ShinyHunterspour Salesforce, aucune relation confirmée entre UNC6395 et ShinyHunters n'a été établie.

‍ShinyHunters est un collectif plus large de courtiers en données et de cybercriminels qui pourrait croiser les campagnes de l'UNC6395 ou en bénéficier, mais l'attribution n'est pas établie.

Aujourd'hui, Scattered Lapsus$ Hunters affirme qu'il va bientôt commencer à extorquer des centaines d'autres organisations qui, selon lui, ont perdu des données de Salesloft. Salesforce a souligné que le vol des données Salesloft de tiers prétendument dérobées par ShinyHunters ne provenait pas d'une vulnérabilité au sein de la plateforme Salesforce.

Comment réduire le rayon d'action de l'explosion

Après tout, la compromission n'est plus une question de "peut-être" - il s'agit plutôt de savoir jusqu'où un attaquant peut aller.

"La visibilité et le contexte vous permettent de voir les changements de comportement - transferts de données importants et soudains, anomalies, accès trop longs", a déclaré M. Adjei. "Mais la visibilité n'a de valeur que si vous agissez en conséquence.

Réduire l'impact de la perte d'une clé :

• Appliquer le principe du moindre privilège. Ne donnez jamais un champ d'application plus large que nécessaire.
• Faites tourner et révoquez régulièrement les jetons.
• Auditez chaque application connectée, chaque intégration.
• Déployez une surveillance continue pour détecter tout trafic API anormal et toute utilisation inhabituelle de jetons.

Comment Illumio Insights peut vous aider

Des attaquants comme UNC6395 n'ont pas eu besoin de logiciels malveillants pour infiltrer des centaines d'organisations - ils ont simplement suivi les voies invisibles de la confiance. Illumio Insights éclaire ces chemins.  

En cartographiant la communication de système à système dans votre environnement, Insights peut révéler quelles applications communiquent entre elles, à quelle fréquence, et quand quelque chose ne semble pas à sa place. Lorsqu'un jeton OAuth compromis commence à déplacer des données de manière inattendue, Insights aide les équipes à le repérer et à le contenir avant qu'il ne se propage.

Les principales capacités sont les suivantes

• Détection des mouvements latéraux : la visibilité des communications entre systèmes est essentielle pour découvrir les attaquants qui se déplacent dans les environnements.
• Détection des menaces comportementales : les analyses qui identifient l'utilisation anormale d'outils natifs permettent de mettre en évidence des activités qui se fondent dans les opérations normales.  
• Hiérarchisation des alertes : le filtrage des comportements routiniers et la mise en évidence des schémas suspects sont essentiels lorsque les attaquants utilisent des processus fiables.  
• Endiguement rapide : la capacité d'isoler rapidement les actifs compromis - sans attendre les signatures de logiciels malveillants - peut arrêter une menace avant qu'elle ne se propage.

Dans un monde où les brèches exploitent la confiance plutôt que le code, Illumio Insights offre la visibilité et le contrôle instantané dont les défenseurs ont besoin en temps réel.

La violation de Salesloft nous apprend que les attaquants n'ont pas besoin de faire sauter les murs de votre château - ils ont juste besoin d'une clé qui fonctionne.  

Lorsque les clés sont disponibles, votre sécurité dépend de la personne qui les détient et de la rapidité avec laquelle vous pouvez les arrêter.

Découvrez comment Illumio Insights identifie et arrête les menaces avant qu'elles ne se propagent. Faites l'expérience de la pleine puissance de Illumio Insights gratuit pendant 14 jours.