Leçons à tirer de l'exposition à Salesloft Drift : ce qui s'est passé, son impact et comment Cyera peut vous aider

Cette semaine, des chercheurs en sécurité ont révélé un incident important impliquant Intégrations à Salesloft Drift. Les acteurs de la menace ont exploité les jetons OAuth liés à Salesloft, obtenant ainsi un accès non autorisé aux applications connectées, y compris Salesforce.

L'attaque était liée à un groupe appelé Chasseurs brillants, connue pour avoir ciblé des entreprises de premier plan dans le passé.

Bien que Salesforce lui-même n'ait pas été à l'origine du compromis, les intégrations via Salesloft ont ouvert de nouvelles voies de recherche aux attaquants secrets et informations d'identification au sein des environnements clients.

L'incident met en lumière une réalité plus large : plus les applications SaaS sont interconnectées, plus il est essentiel de comprendre où se trouvent les données sensibles et les informations d'identification, qui peut y accéder et comment les attaquants peuvent exploiter ces voies.

Que savons-nous qu'il s'est passé ?

Tout a commencé avec une seule porte laissée entrouverte. Salesloft Drift, une plateforme d'engagement commercial largement utilisée, est devenue la cible lorsque des attaquants ont trouvé un moyen d'exploiter les jetons OAuth, ces clés invisibles qui permettent de maintenir discrètement les intégrations en arrière-plan. Avec ces jetons en main, les attaquants n'avaient pas besoin de mots de passe ni d'instructions MFA ; ils ont soudainement réussi à accéder à des environnements fiables.

À partir de là, le compromis s'est répercuté sur l'extérieur. Salesloft étant connecté à d'autres plateformes SaaS critiques, notamment Salesforce, Google Workspace et Outlook, les attaquants ont eu accès à un écosystème numérique beaucoup plus vaste. Ils ne recherchaient pas simplement des dossiers clients ou des e-mails, des rapports indiquent qu'ils recherchaient spécifiquement secrets et informations d'identification intégrés dans les données des clients. Ils pourraient ainsi débloquer encore plus de systèmes en aval.

• L'exposition a pour origine Salesloft Drift, où des jetons OAuth compromis permettaient aux attaquants un accès non autorisé.
  
• Salesforce figurait parmi les intégrations concernées, qui n'est pas la source de la faille mais une voie potentielle pour les attaquants.
  
• Google a publié avertissements à 2,5 milliards d'utilisateurs de Gmail, soulignant l'ampleur mondiale et l'urgence de l'incident.

Quel en est l'impact ?

Les répercussions de cet incident montrent à quel point les écosystèmes SaaS interconnectés peuvent être fragiles. Imaginez un maillon faible d'une chaîne : un petit compromis dans Salesloft Drift a été étendu instantanément aux systèmes concernés. Soudainement, les environnements Salesforce, hébergeant des données clients sensibles, et même les boîtes de réception Gmail se sont retrouvés dans le rayon d'action.

La menace ne se limitait pas aux dossiers volés. Les assaillants auraient passé au peigne fin les environnements pour trouver secrets, tels que des clés d'API, des jetons ou des informations d'identification, cachés dans les objets Salesforce ou les dossiers clients. Une fois découverts, ces secrets pourraient être utilisés comme armes pour infiltrer encore plus de systèmes. Pour les organisations, cela signifie que l'exposition ne se limite pas à une seule plateforme ; elle se propage comme une contagion à chaque intégration.

• Une exposition plus large grâce aux intégrations: un compromis trouvé dans Salesloft Drift s'est rapidement étendu à Salesforce, Google Workspace et Outlook.
  
• Les secrets comme cible: Les attaquants se concentraient sur la recherche informations d'identification intégrées ils pourraient s'en servir pour de nouvelles attaques.
  
• Risques de conformité et de confiance: Même lorsque la faute initiale incombe à un tiers, les organisations sont responsables des données sensibles exposées et font face à des conséquences réglementaires et de réputation.

‍Comment est-ce arrivé ?

La faille n'a pas commencé par le vol de noms d'utilisateur ou de mots de passe piratés, mais par les jetons auxquels nous faisons confiance pour assurer le fonctionnement fluide du SaaS moderne. Les jetons OAuth sont destinés à simplifier notre vie numérique, en passant silencieusement d'une application à l'autre pour que les intégrations restent fluides et sécurisées. Mais entre de mauvaises mains, ces mêmes jetons deviennent une clé squelette.

Dans le cas de Salesloft Drift, les attaquants ont pu abuser de ces jetons, s'accordant le même niveau d'accès que les utilisateurs légitimes. Une fois à l'intérieur, ils ne se sont pas arrêtés à Salesloft. À l'instar de l'eau qui s'écoule en descente, les attaquants ont suivi les connexions naturelles entre les applications. Salesforce était l'une d'entre elles. Elle n'est pas à l'origine du problème, mais constitue une cible privilégiée en raison des données sensibles qu'elle contient.

Le véritable défi pour les organisations est que peu d'équipes ont une visibilité sur la manière dont ces intégrations transfèrent les données. Les secrets stockés dans les objets Salesforce, les informations d'identification intégrées dans les notes ou les clés d'API oubliées peuvent tous devenir des tremplins pour un attaquant. Et comme les contrôles d'identité font généralement confiance aux jetons OAuth, ces mouvements passent souvent inaperçus.

• Exploitation des jetons OAuth: les attaquants ont contourné les méthodes de connexion traditionnelles en abusant des jetons OAuth, qui permettaient un accès permanent sans interaction de l'utilisateur.
  
• L'intégration comme voie d'attaque: Salesloft Drift a servi de point d'entrée initial, mais les attaquants ont rapidement tiré parti d'intégrations connectées telles que Salesforce et Google Workspace.
  
• Angles morts en matière de visibilité des données: La plupart des organisations ne pouvaient pas voir où étaient stockées les données sensibles ou les secrets, laissant ainsi des angles morts exploitables.
  
• Limites des contrôles IAM: Les outils de gestion des identités et des accès n'étaient pas suffisants : ils faisaient confiance aux jetons et ne détectaient pas les mouvements de données anormaux créés par les attaquants.

Que doivent faire les organisations pour éviter ces risques ?

Salesforce elle-même a souligné que si les intégrations rendent les plateformes SaaS puissantes, elles élargissent également la surface d'attaque. Pour atténuer les risques tels que ceux mis en évidence dans l'exposition Salesloft Drift, les organisations doivent :

Pour réduire les risques d'incidents similaires, les équipes de sécurité doivent :

• Éliminez les secrets des enregistrements SaaS : les mots de passe, les clés d'API et les informations d'identification ne devraient jamais figurer dans les champs Salesforce.
  
• Vérifiez régulièrement les intégrations OAuth — Supprimez les applications inutilisées ou suspectes.
  
• Étendez les jetons au moindre privilège : assurez-vous que les applications OAuth n'accèdent qu'à ce dont elles ont besoin.
  
• Faites pivoter les jetons de manière agressive — Les jetons de courte durée de vie limitent la persistance des attaquants.
  
• Découvrez tout ce à quoi les tiers peuvent accéder — Postulez Gestion de la posture de sécurité des données (DSPM) principes permettant de comprendre exactement quels fournisseurs, intégrations et applications ont accès aux données sensibles.
  
• Surveillez les flux de données en temps réel — Tirez parti Prévention des pertes de données (DLP) techniques permettant de détecter les mouvements anormaux de données sensibles entre les intégrations.
  
• Sensibilisez les employés aux escroqueries liées au vishing et à l'autorisation des applications — La confiance humaine reste un vecteur d'attaque clé.

Comment Cyera peut vous aider

Des incidents tels que l'exposition à Salesloft Drift nous rappellent une dure vérité : les attaquants ne se contentent pas de s'en prendre à des cibles évidentes, ils recherchent les petits oublis : les secrets laissés dans les dossiers, les jetons que personne n'a pensé à vérifier, les intégrations qui étendent discrètement l'accès bien au-delà de ce qui était attendu. Pour se défendre contre cela, il faut de la visibilité, et pas seulement du contrôle.

Cyera aide les organisations à mettre en œuvre ces pratiques en offrant aux équipes de sécurité la visibilité et les informations qui leur font souvent défaut :

• Identifiez les secrets et les informations d'identification
  Cyera analyse les environnements Salesforce pour détecter des secrets, des mots de passe ou des clés d'API cachés dans des dossiers alors qu'ils ne devraient pas exister, ce qui permet aux équipes de les supprimer avant que les attaquants ne les exploitent.
  
• Création d'un plan d'accès
  Cyera indique qui et quelles intégrations peuvent accéder aux données sensibles de Salesforce, aidant ainsi les équipes à repérer les accès excessifs ou inattendus.
  
• Risques de partage trop permissif de Surface
  Cyera met en évidence les données trop largement partagées (entre utilisateurs, groupes ou applications tierces) afin que les organisations puissent renforcer les contrôles.
  
• Permettre une remédiation en connaissance de cause
  Grâce à cette visibilité, les équipes peuvent non seulement réagir plus rapidement en cas d'incident, mais également réduire l'exposition de manière proactive, garantissant une meilleure protection des données sensibles avant qu'une violation ne se produise.

Plutôt que de remplacer les contrôles d'identité ou d'intégration, Cyera fournit visibilité et contexte centrés sur les données qui rend ces pratiques de sécurité exploitables. Il en résulte un environnement Salesforce plus solide et plus résilient dans lequel les secrets sont supprimés, l'accès est correctement dimensionné et les risques sont plus faciles à gérer.

Si une intégration telle que Salesloft Drift était compromise, cette visibilité n'empêcherait pas l'exposition initiale, mais cela ferait une différence significative en limitant son impact. Les équipes de sécurité sauraient déjà où se trouvent les données de grande valeur, si des secrets sont présents et comment les intégrations utilisent ces données. Ce type de prise de conscience transforme une bousculade en une réponse informée.

Cyera aide les organisations à renforcer leur résilience notamment en les aidant à :

• Mettre en lumière les risques cachés: identification des « secrets », des informations d'identification et des données sensibles contenus dans les objets Salesforce que les attaquants peuvent cibler.

• Connaissance contextuelle des intégrations: mettre en évidence les applications tierces (comme Drift) qui ont accès à des données sensibles, afin que les équipes puissent évaluer les risques de manière appropriée.

En fournissant aux équipes de sécurité une image claire de leurs environnements Salesforce (où se trouvent les données sensibles, qui y a accès et comment elles sont partagées), nous aidons les entreprises à réduire les risques, à minimiser le rayon d'action et à réagir avec clarté en cas de problème.‍

Conclusion

L'exposition à Salesloft Drift ne se limite pas à un seul fournisseur ou à une seule plateforme. Cela nous rappelle à quel point les écosystèmes SaaS sont profondément interconnectés et comment les attaquants exploiteront de plus en plus ces connexions pour découvrir des secrets et des informations d'identification qui débloquent un accès supplémentaire.

Avec Cyéra, les organisations ont la possibilité de voir et de sécuriser les données sensibles au sein de Salesforce, de ses intégrations et d'applications similaires. Cette visibilité garantit que même si un service externe est compromis, le rayon d'action est réduit, ce qui permet aux équipes de sécurité de réagir avec clarté et confiance.