Alerte Sécurité : Violation de Données Salesforce via Drift et SalesLoft – Révoquer Immédiatement les Intégrations
[Date de publication : 22 août 2025] – une brèche de sécurité majeure affectant les données Salesforce de certains clients a été révélée, impliquant une exploitation des informations d’identification OAuth au sein des applications Drift et SalesLoft. L’incident, survenu entre le 8 et le 18 août 2025, a permis à un acteur malveillant d’exfiltrer des données sensibles, notamment des informations d’identification, des clés d’accès AWS, des mots de passe et des jetons d’accès Snowflake.
Drift a réagi en révoquant toutes les connexions Drift-Salesforce le 20 août 2025, précisant que seuls les utilisateurs de l’équipe de vente étaient potentiellement affectés. Salesforce confirme que seul un nombre limité de clients a été touché en raison d’une connexion d’submission compromise.
Ce qu’il faut savoir :
Méthode d’attaque : L’attaque a exploité des informations d’identification OAuth, un protocole d’autorisation largement utilisé pour les intégrations d’applications.
Données compromises : Les données exfiltrées comprennent des informations d’identification sensibles, des clés d’accès AWS, des mots de passe et des jetons d’accès Snowflake.
Impact : L’incident affecte principalement les clients utilisant l’intégration SalesLoft-Salesforce. Les utilisateurs non-vente ne sont pas concernés.
Réponse : Drift et Salesforce ont révoqué les jetons d’accès compromis, retiré Drift de l’AppExchange et notifié les clients affectés. SalesLoft affirme ne détecter aucune activité malveillante en cours.
Enquête : Une entreprise spécialisée en réponse aux incidents numériques (DFIR) assiste à l’enquête. SalesLoft a également partagé des indicateurs de compromis (IOC) pour aider à la détection et à la mitigation.
Recommandations immédiates :
Les administrateurs Salesforce sont fortement encouragés à ré-authentifier immédiatement toutes les intégrations Salesforce, en particulier celles impliquant drift et SalesLoft.Il est crucial de changer les mots de passe et de révoquer les jetons d’accès existants pour minimiser les risques.
Comprendre les risques OAuth :
Les protocoles OAuth, bien que conçus pour améliorer la sécurité, peuvent être vulnérables si les informations d’identification sont compromises. Les utilisateurs et les administrateurs doivent adopter les meilleures pratiques de sécurité,notamment :
authentification multi-facteurs (MFA) : Activer MFA sur tous les comptes Salesforce et les applications intégrées.
Gestion des mots de passe : Utiliser des mots de passe forts et uniques, et les changer régulièrement.
Surveillance des accès : Surveiller régulièrement les connexions et les autorisations d’accès aux applications intégrées.* Principes du moindre privilège : Accorder aux applications uniquement les autorisations minimales nécessaires pour fonctionner.
Cet incident souligne l’importance cruciale de la sécurité des intégrations d’applications et de la vigilance constante face aux menaces en constante évolution. les entreprises doivent investir dans des mesures de sécurité robustes et rester informées des dernières vulnérabilités et des meilleures pratiques pour protéger leurs données sensibles.
