Salesforce | DATA SECURITY BREACH

Un collectif cybercriminel exige le licenciement de deux experts sécurité de Google. Sans preuve d’intrusion, la menace illustre une nouvelle tactique d’intimidation contre les équipes de renseignement.

Le collectif Scattered LapSus Hunters, réunissant trois groupes de pirates connus, menace Google de divulguer des données internes si deux de ses experts en cybersécurité ne sont pas renvoyés. Cette demande inédite, relayée sur Telegram, cible directement les équipes de Threat Intelligence de l’entreprise. Aucune preuve d’intrusion n’a été présentée à ce jour, mais la menace intervient après une fuite récente liée à un prestataire Salesforce ayant touché des données de contacts professionnels. Google n’a pas confirmé de compromission ni réagi publiquement à cet ultimatum. L’affaire met en lumière les pressions croissantes exercées sur les géants technologiques et le rôle clé de leurs cellules de renseignement cyber.

Origines et méthodes du collectif

Les Scattered LapSus Hunters se présentent comme une alliance de trois acteurs notoires de la cybercriminalité : Scattered Spider, LapSus$ et ShinyHunters. Chacun s’est déjà illustré par des attaques marquantes contre de grandes entreprises technologiques. Scattered Spider est réputé pour ses campagnes de social engineering et ses opérations de rançongiciels. LapSus$ s’est fait connaître en piratant Microsoft, NVIDIA et d’autres géants du secteur. ShinyHunters, pour sa part, a bâti sa réputation en volant et en revendant des bases de données issues de plateformes comme Wattpad ou Tokopedia. Personne ne s’est encore imaginé « publiquement » qu’ilm s’agirait peut-être de la même personne, cachait depuis peu sous ces trois signatures.

Cette coalition revendique aujourd’hui une stratégie atypique : exiger non pas une rançon financière, mais le renvoi de deux employés de l’équipe de Threat Intelligence de Google. Une telle démarche suggère que ces analystes mènent activement des enquêtes susceptibles de nuire aux opérations des cybercriminels. Les noms n’ont pas été divulgués, mais le ciblage personnel constitue une escalade significative dans la confrontation entre acteurs malveillants et équipes de défense.

Alerte après une fuite via Salesforce

La menace survient quelques semaines après un incident impliquant l’écosystème de Google. En août, l’un des groupes liés au collectif a exploité une faille chez Salesforce, prestataire externe de Google, pour accéder à des données de contacts professionnels. Les systèmes centraux de l’entreprise n’ont pas été compromis, mais l’événement a permis aux attaquants de récupérer des informations exploitables pour des campagnes de phishing et de vishing à grande échelle.

Face à ce risque accru, Google a diffusé une recommandation mondiale de réinitialisation de mots de passe, visant ses 2,5 milliards d’utilisateurs Gmail. Ce geste illustre la sensibilité de la menace, même lorsque la compromission ne touche pas directement les infrastructures internes. Les cybercriminels misent sur ces brèches périphériques pour multiplier les angles d’attaque.

À ce stade, Google n’a publié aucun communiqué officiel en réponse à l’ultimatum des Scattered LapSus Hunters. L’entreprise semble attendre d’éventuelles preuves tangibles avant d’ajuster sa posture publique. Complyer à une exigence visant des employés serait inédit et risquerait de créer un précédent dangereux, incitant d’autres groupes à recourir à l’extorsion ciblée.

Cette situation constitue un test pour les grandes entreprises technologiques. Elles doivent arbitrer entre discrétion stratégique, communication transparente envers leurs utilisateurs et protection de leurs équipes de renseignement. Si les pirates publient un jour des preuves crédibles d’intrusion, Google sera contraint d’activer ses protocoles de divulgation et de confinement. En attendant, l’épisode illustre la montée en puissance des tactiques de pression psychologique sur les défenseurs, autant que sur les infrastructures techniques.

Un piratage via l’intégration Salesloft Drift-Salesforce a compromis plusieurs géants de la cybersécurité. Des tokens OAuth volés ont ouvert l’accès à des données sensibles.

Rejoignez-nous sur les réseaux sociaux

Aucun spam – Désinscription en un clic – Vie privée respectée

Un acteur malveillant a exploité une faille dans l’intégration Salesloft Drift-Salesforce pour siphonner des tokens OAuth et refresh. L’attaque, détectée en août 2025, a touché des entreprises majeures, dont Cloudflare, Zscaler et Palo Alto Networks. Les données volées incluent identités, contacts, contenus de support et même des identifiants de services critiques. L’incident interroge sur la sécurité des intégrations SaaS et l’exposition croissante des chaînes logicielles.

Un piratage sophistiqué ciblant les intégrations Salesforce

Entre le 8 et le 18 août 2025, un groupe baptisé UNC6395 a exploité l’intégration entre Salesloft Drift et Salesforce pour dérober massivement des tokens OAuth. Ces jetons permettaient d’accéder directement à des environnements Salesforce, ouvrant un accès sans authentification supplémentaire à de multiples données.

Les tokens, une fois volés, ont servi à exfiltrer des informations sensibles de plusieurs clients Salesforce. Parmi les organisations ciblées figurent des acteurs critiques du secteur cyber, dont Zscaler, Cloudflare et Palo Alto Networks. D’autres éditeurs comme Tanium et SpyCloud figurent aussi sur la liste des victimes confirmées.

Les attaquants ont ciblé les champs de support et les données clients stockées dans Salesforce. Selon les premières analyses, l’accès concernait à la fois des informations personnelles (noms, emails, numéros de téléphone) et des données techniques ou organisationnelles (clés AWS, tokens Snowflake, identifiants internes). Google Threat Intelligence Group (GTIG) attribue cette campagne à UNC6395, tout en soulignant l’absence de preuves solides reliant l’opération au collectif ShinyHunters, pourtant prompt à revendiquer la responsabilité.

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Des données sensibles exposées chez les leaders de la cybersécurité

Chez Cloudflare, les assaillants ont pu consulter des tickets de support, comprenant noms, coordonnées de clients et contenus des échanges. Certaines informations techniques soumises par des utilisateurs, comme des logins, ont également été exposées.

Zscaler a confirmé le vol de données relatives aux licences produits, aux postes occupés par ses clients et aux numéros de téléphone professionnels. Les échanges de support, parfois détaillés, faisaient partie du lot.

Chez Palo Alto Networks, les intrusions ont permis d’accéder aux données de comptes de vente internes, ainsi qu’à certains cas de support contenant des informations sensibles.

L’ampleur exacte du volume exfiltré n’a pas été chiffrée publiquement, mais plusieurs entreprises reconnaissent la possibilité que des credentials techniques aient été compromis. Salesforce a de son côté averti que les attaquants pouvaient avoir récupéré des clés AWS et des identifiants de services cloud critiques.

Si ces informations étaient exploitées pour une intrusion secondaire, les conséquences pourraient être majeures. La compromission d’intégrations SaaS utilisées par des milliers d’entreprises illustre la difficulté croissante à protéger les chaînes de confiance logicielles.

Réponses d’urgence et interrogations persistantes

Face à l’attaque, Salesforce et Salesloft ont immédiatement désactivé l’application Drift, révoqué les tokens associés et retiré Drift de l’AppExchange. Les entreprises touchées ont lancé des investigations internes, notifié leurs clients et enclenché des rotations massives de clés et tokens.

Cloudflare, Zscaler et Palo Alto Networks affirment que les systèmes centraux de leurs infrastructures n’ont pas été atteints. Les exfiltrations se limiteraient aux données Salesforce accessibles via Drift. Cependant, la confiance des clients reste mise à l’épreuve, d’autant que l’exploitation de tokens OAuth confère aux assaillants une persistance difficile à détecter.

Google GTIG rappelle que les campagnes d’UNC6395 se caractérisent par une exploitation rapide des intégrations SaaS et par un usage intensif de tokens volés. Leur mode opératoire témoigne d’une compréhension fine des environnements cloud modernes.

L’affaire soulève une question centrale : comment contrôler la prolifération d’applications tierces connectées aux environnements critiques, quand chacune d’elles peut devenir une porte d’entrée invisible ? Le piratage Salesloft Drift rappelle la fragilité des chaînes SaaS : une seule application compromise peut entraîner la fuite de données sensibles chez des acteurs mondiaux de la cybersécurité. L’enjeu stratégique devient clair : comment redéfinir la gestion des intégrations cloud pour éviter que le maillon faible ne compromette tout un écosystème ?

Selon 6Sens, environ 110 entreprises en France utilisent Salesloft (contre 390 au Royaume-Uni, 286 au Canada) .