Une récente cyberattaque sur Salesloft, éditeur d’un agent conversationnel IA intégré à Salesforce, a compromis les données de centaines d’organisations. Identifiée par Google sous le code UNC6395, cette intrusion s’est déroulée du 8 au 18 août 2025 et a exploité des jetons OAuth compromis liés à l’application Drift de Salesloft. Cette application de chatbot, utilisée pour convertir les interactions client en prospects dans Salesforce, était connectée aux systèmes de nombreuses entreprises. En volant les jetons d’accès de l’intégration Drift–Salesforce, les attaquants ont pu accéder de manière illicite aux environnements Salesforce de plus de 700 entreprises, sans exploiter de faille spécifique dans Salesforce même.
Le mode opératoire de l’attaque s’apparente à une compromission de la chaîne logistique logicielle (supply chain). Plutôt que d’attaquer directement chaque entreprise, les acteurs malveillants ont ciblé Salesloft, un fournisseur tiers de service connecté. Une fois les jetons volés, ils ont siphonné d’importants volumes de données depuis les bases Salesforce de multiples clients de Salesloft. Les enquêteurs ont révélé que les hackers ne se sont pas limités à Salesforce : des jetons d’authentification pour des centaines d’autres services en ligne intégrés à Salesloft ont également été dérobés. Parmi ces services figurent notamment Slack, Google Workspace (comptes email), le stockage Amazon S3, Microsoft Azure ou encore OpenAI. Par exemple, le 9 août, les pirates ont utilisé des jetons d’intégration Drift Email pour accéder au contenu de quelques boîtes mail Google Workspace liées à Salesloft.
Plusieurs entreprises de premier plan ont confirmé avoir été affectées par cette brèche. Parmi les organisations touchées figurent notamment Zscaler, Palo Alto Networks, PagerDuty, Tanium et SpyCloud, qui ont reconnu un accès non autorisé à leurs données Salesforce via l’incident Salesloft. Ces entreprises ont précisé que les attaquants n’avaient obtenu qu’un accès restreint à leurs bases de données Salesforce, sans compromettre d’autres systèmes internes. Néanmoins, les informations subtilisées (par exemple des données clients, coordonnées ou contenus de comptes) exposent les victimes à des attaques secondaires. En effet, des clients ou contacts pourraient faire l’objet de campagnes de phishing sophistiquées en se basant sur ces données volées. Plus inquiétant encore, l’analyse de Google a montré que les intrus ont principalement recherché dans les données exfiltrées des identifiants sensibles – en particulier des clés d’accès AWS, des identifiants VPN, ou des jetons pour la plateforme de données Snowflake. De tels secrets, s’ils sont trouvés, peuvent être utilisés pour compromettre davantage les systèmes des victimes ou de leurs partenaires, en rebondissant vers d’autres environnements cloud.
Mesures de remédiation et enquêtes en cours :
- Salesforce (éditeur de la plateforme CRM) a immédiatement désactivé toutes les intégrations entre Salesforce et les technologies Salesloft (y compris l’application Drift) dès le 28 août, par précaution. Cette coupure vise à protéger les clients le temps d’évaluer l’ampleur de l’attaque.
- Google a de son côté suspendu l’intégration de Salesloft Drift avec Google Workspace. Le groupe encourage les organisations utilisatrices de Salesloft à révoquer tous les jetons et identifiants liés à Salesloft dans leurs intégrations tierces, puis à les régénérer. Google recommande également d’inspecter l’ensemble des systèmes connectés à Salesloft (Salesforce, messageries, stockages cloud…) afin d’y déceler tout accès non autorisé ou activité suspecte.
- Salesloft a engagé des experts en sécurité de Mandiant (Google Cloud) et de Coalition pour investiguer sur la cause première de la fuite de jetons OAuth. Bien que Salesloft ait conseillé aux clients gérant des intégrations Drift via des clés API de les recréer par précaution, la société n’a pas encore divulgué comment les attaquants ont initialement compromis ces jetons. L’enquête se poursuit activement.
Du côté des cybercriminels, l’attribution de l’attaque reste incertaine. Un collectif anonyme sur Telegram, se faisant appeler “Scattered LAPSUS$ Hunters 4.0”, a publiquement revendiqué le piratage en l’associant aux groupes ShinyHunters et LAPSUS$. Cependant, les spécialistes de la menace n’ont à ce jour trouvé aucune preuve tangible liant cette campagne à ces groupes connus. Les autorités utilisent provisoirement l’identifiant UNC6395 pour désigner les auteurs, en l’absence de lien formel avec une entité déjà répertoriée. Ce cas illustre enfin un risque grandissant : les attaquants profitent de la confiance accordée aux applications connectées et aux authentifications fédérées (OAuth, SSO), en abusant de jetons d’accès légitimes volés. Cette approche, parfois nommée « sprawl d’autorisations », leur permet de se déplacer latéralement dans les systèmes des victimes tout en évitant la détection traditionnelle, puisqu’ils utilisent des accès approuvés plutôt que du malware ou des exploits.
Sources
- Help Net Security : https://www.helpnetsecurity.com/2025/09/02/zscaler-palo-alto-networks-spycloud-among-the-affected-by-salesloft-breach/
- KrebsOnSecurity : https://krebsonsecurity.com/2025/09/the-ongoing-fallout-from-a-breach-at-ai-chatbot-maker-salesloft/
