Un piratage via l’intégration Salesloft Drift-Salesforce a compromis plusieurs géants de la cybersécurité. Des tokens OAuth volés ont ouvert l’accès à des données sensibles.
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
Un acteur malveillant a exploité une faille dans l’intégration Salesloft Drift-Salesforce pour siphonner des tokens OAuth et refresh. L’attaque, détectée en août 2025, a touché des entreprises majeures, dont Cloudflare, Zscaler et Palo Alto Networks. Les données volées incluent identités, contacts, contenus de support et même des identifiants de services critiques. L’incident interroge sur la sécurité des intégrations SaaS et l’exposition croissante des chaînes logicielles.
Un piratage sophistiqué ciblant les intégrations Salesforce
Entre le 8 et le 18 août 2025, un groupe baptisé UNC6395 a exploité l’intégration entre Salesloft Drift et Salesforce pour dérober massivement des tokens OAuth. Ces jetons permettaient d’accéder directement à des environnements Salesforce, ouvrant un accès sans authentification supplémentaire à de multiples données.
Les tokens, une fois volés, ont servi à exfiltrer des informations sensibles de plusieurs clients Salesforce. Parmi les organisations ciblées figurent des acteurs critiques du secteur cyber, dont Zscaler, Cloudflare et Palo Alto Networks. D’autres éditeurs comme Tanium et SpyCloud figurent aussi sur la liste des victimes confirmées.
Les attaquants ont ciblé les champs de support et les données clients stockées dans Salesforce. Selon les premières analyses, l’accès concernait à la fois des informations personnelles (noms, emails, numéros de téléphone) et des données techniques ou organisationnelles (clés AWS, tokens Snowflake, identifiants internes). Google Threat Intelligence Group (GTIG) attribue cette campagne à UNC6395, tout en soulignant l’absence de preuves solides reliant l’opération au collectif ShinyHunters, pourtant prompt à revendiquer la responsabilité.
⏳ Jusqu’où tolérerez-vous d’être piraté ?
CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.
Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.
Des données sensibles exposées chez les leaders de la cybersécurité
Chez Cloudflare, les assaillants ont pu consulter des tickets de support, comprenant noms, coordonnées de clients et contenus des échanges. Certaines informations techniques soumises par des utilisateurs, comme des logins, ont également été exposées.
Zscaler a confirmé le vol de données relatives aux licences produits, aux postes occupés par ses clients et aux numéros de téléphone professionnels. Les échanges de support, parfois détaillés, faisaient partie du lot.
Chez Palo Alto Networks, les intrusions ont permis d’accéder aux données de comptes de vente internes, ainsi qu’à certains cas de support contenant des informations sensibles.
L’ampleur exacte du volume exfiltré n’a pas été chiffrée publiquement, mais plusieurs entreprises reconnaissent la possibilité que des credentials techniques aient été compromis. Salesforce a de son côté averti que les attaquants pouvaient avoir récupéré des clés AWS et des identifiants de services cloud critiques.
Si ces informations étaient exploitées pour une intrusion secondaire, les conséquences pourraient être majeures. La compromission d’intégrations SaaS utilisées par des milliers d’entreprises illustre la difficulté croissante à protéger les chaînes de confiance logicielles.
Réponses d’urgence et interrogations persistantes
Face à l’attaque, Salesforce et Salesloft ont immédiatement désactivé l’application Drift, révoqué les tokens associés et retiré Drift de l’AppExchange. Les entreprises touchées ont lancé des investigations internes, notifié leurs clients et enclenché des rotations massives de clés et tokens.
Cloudflare, Zscaler et Palo Alto Networks affirment que les systèmes centraux de leurs infrastructures n’ont pas été atteints. Les exfiltrations se limiteraient aux données Salesforce accessibles via Drift. Cependant, la confiance des clients reste mise à l’épreuve, d’autant que l’exploitation de tokens OAuth confère aux assaillants une persistance difficile à détecter.
Google GTIG rappelle que les campagnes d’UNC6395 se caractérisent par une exploitation rapide des intégrations SaaS et par un usage intensif de tokens volés. Leur mode opératoire témoigne d’une compréhension fine des environnements cloud modernes.
L’affaire soulève une question centrale : comment contrôler la prolifération d’applications tierces connectées aux environnements critiques, quand chacune d’elles peut devenir une porte d’entrée invisible ? Le piratage Salesloft Drift rappelle la fragilité des chaînes SaaS : une seule application compromise peut entraîner la fuite de données sensibles chez des acteurs mondiaux de la cybersécurité. L’enjeu stratégique devient clair : comment redéfinir la gestion des intégrations cloud pour éviter que le maillon faible ne compromette tout un écosystème ?
Selon 6Sens, environ 110 entreprises en France utilisent Salesloft (contre 390 au Royaume-Uni, 286 au Canada) .
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
