une compromission qui dépasse Salesforce

L’incident de sécurité touchant Salesloft Drift^[7] s’étend désormais à un périmètre bien plus large. Initialement présenté comme limité aux clients Salesforce, il englobe en réalité toutes les organisations ayant relié Drift à un service tiers via intégration. Google et Mandiant confirment qu’au moins 700 structures sont exposées, y compris des utilisateurs de Google Workspace. Les assaillants, identifiés sous le nom UNC6395, ont récupéré des jetons OAuth pour accéder à des comptes, extraire des emails et rechercher des identifiants critiques comme clés AWS, VPN ou Snowflake. Salesforce a suspendu ses connexions avec Drift, tandis que Salesloft recommande de révoquer et renouveler toutes les clés API liées aux intégrations.

Un périmètre d’attaque démultiplié

Mandiant Consulting, par la voix de son directeur technique Charles Carmakal, appelle désormais toutes les organisations ayant intégré Drift à considérer leurs instances comme potentiellement compromises. Google confirme avoir trouvé des preuves d’accès non autorisé concernant certains utilisateurs de Google Workspace. L’analyse menée par Google Threat Intelligence Group révèle que l’attaque dépasse largement Salesforce, contrairement aux affirmations initiales de Salesloft. Austin Larsen, analyste principal de Google, souligne que la découverte « élargit considérablement le champ des victimes ».

Salesloft Drift propose aujourd’hui 58 intégrations différentes avec des outils tiers, couvrant CRM, automatisation, support, communication et analyse. Ce maillage accentue l’effet domino d’une compromission : chaque interconnexion devient une porte d’entrée pour UNC6395.

Salesloft a révisé sa communication officielle, admettant une atteinte plus grave et plus étendue que prévu. L’entreprise coopère avec Mandiant, Google Cloud et l’assureur Coalition pour l’enquête. Dans son blog de sécurité, Salesloft conseille à tous les clients Drift utilisant des connexions par clé API de révoquer immédiatement ces clés et d’en régénérer de nouvelles.

Salesforce a réagi en désactivant purement et simplement la connexion avec Drift, rendant inopérantes les intégrations concernées. La société assure que la faille ne provient pas de sa propre plateforme mais bien d’un vecteur externe. Google maintient son estimation : plus de 700 organisations seraient concernées, chiffre qui pourrait encore évoluer à mesure que les chercheurs identifient d’autres chemins de compromission.

L’exposition ne se limite pas aux clients actuels. Mandiant a repéré un cas possible impliquant un ancien utilisateur de Drift. La compromission, dans certains cas, a permis l’accès à des emails d’un petit nombre de comptes Google Workspace.

Objectifs des assaillants et inconnues persistantes

Le groupe UNC6395, financièrement motivé, s’est concentré sur le vol de jetons OAuth. Ces derniers ont facilité l’accès à différents services, ouvrant la voie à la collecte de données sensibles. Les chercheurs indiquent que les attaquants ont ciblé en priorité la récupération d’identifiants techniques : clés Amazon Web Services, informations VPN et identifiants Snowflake.

Le mode opératoire illustre un scénario classique d’escalade : initialement, l’exploitation d’un connecteur SaaS, puis, par rebond, l’extension vers d’autres environnements interconnectés.

La cause exacte de la compromission initiale reste indéterminée. Mandiant confirme travailler avec Salesloft Drift pour comprendre l’origine de l’attaque et ses implications au sein même de l’infrastructure de l’éditeur. Carmakal a indiqué que des mises à jour régulières suivraient, preuve que le périmètre et la profondeur de l’incident ne sont pas encore stabilisés.

La compromission de Salesloft Drift illustre la fragilité des écosystèmes SaaS hyperconnectés. Une faille unique dans un connecteur peut s’étendre en cascade à des centaines d’organisations. La question demeure : quelles garanties de sécurité imposer aux éditeurs d’intégrations pour éviter que de tels vecteurs ne deviennent les maillons faibles de l’espionnage économique global ?