Navigation
Les derniers articles
Suivez en direct

Fuite de jetons Salesloft : Slack, Google, AWS et Salesforce exposés

Clavier d’ordinateur avec un cadenas, une icône de dossier jaune accompagnée d’un symbole d’alerte, et le logo de Salesloft, illustrant une fuite de données ou une faille de sécurité informatique.
Un vol massif de jetons Salesloft expose les données de milliers d’entreprises. Les groupes criminels ShinyHunters et Scattered Spider sont suspectés

En bref

  • Le vol de jetons d’authentification Salesloft menace des milliers d’entreprises en raison d’intégrations étendues avec des services critiques comme Slack, Salesforce, Google Workspace et AWS.
  • Google a confirmé que les attaquants ont siphonné de vastes volumes de données, incluant des identifiants sensibles, et qu’ils ont exploité des intégrations tierces pour pénétrer des environnements clients.
  • Salesforce a bloqué les connexions avec Salesloft Drift après avoir détecté que les jetons volés permettaient d’accéder à des comptes Google Workspace et à d’autres services cloud critiques.
  • Les groupes criminels ShinyHunters et Scattered Spider sont suspectés, mais l’attribution reste incertaine tandis que les cybercriminels utilisent Telegram pour revendiquer et amplifier leurs menaces.

Le piratage qui a frappé Salesloft, éditeur d’un chatbot largement intégré aux plateformes d’entreprises, a déclenché une onde de choc dans l’écosystème cloud. Plus de 5 000 clients exploitant cette solution pour interfacer Salesforce, Slack, Google Workspace, AWS ou encore Azure, se retrouvent exposés au vol de jetons d’authentification. Ces jetons, une fois compromis, donnent aux attaquants un accès direct aux systèmes ciblés sans avoir besoin de forcer de mots de passe ou de contourner d’autres protections.

Selon KrebsOnSecurity, Google Threat Intelligence Group (GTIG) estime que les intrusions ont commencé dès le 8 août 2025 et se sont prolongées pendant plusieurs jours, compromettant la confidentialité des données d’entreprises de premier plan.

Des intégrations cloud devenues une porte d’entrée

Les attaquants ont utilisé les jetons volés pour extraire des volumes massifs de données depuis de nombreux environnements Salesforce. Google précise que les criminels ont ciblé des identifiants hautement sensibles tels que des clés AWS, des accès VPN et des comptes Snowflake. La menace ne se limite donc pas à Salesforce : la compromission touche l’ensemble des services interconnectés par Salesloft Drift. En réponse, Salesforce a bloqué les intégrations et conseillé à ses clients de révoquer immédiatement tout jeton lié. Google a confirmé que des comptes Google Workspace, configurés pour interagir avec Salesloft, ont eux aussi été exposés.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord
Page daccueil de Salesloft

Cette chaîne d’accès illustre ce que les experts appellent « authorization sprawl », où la prolifération des jetons multiplie les surfaces d’attaque. Joshua Wright, spécialiste en cybersécurité, décrit ce phénomène comme une faiblesse structurelle : les cybercriminels n’ont pas besoin de créer de malwares sophistiqués, ils exploitent les accès légitimes déjà présents.

La conséquence est lourde pour les entreprises utilisatrices. Le vol d’un jeton ne compromet pas seulement l’application directement concernée mais l’ensemble des systèmes liés par des intégrations automatisées. L’effet domino est redoutable : un attaquant peut pivoter d’un service cloud à un autre sans être détecté, profitant de la confiance implicite des plateformes. C’est ce qui rend ce type d’incident particulièrement difficile à contenir et à corriger, même pour les équipes de sécurité les mieux préparées.

Entre revendications et confusion autour des auteurs

La question de l’attribution reste floue. Si le groupe ShinyHunters est soupçonné d’être derrière l’attaque, aucune preuve formelle ne permet de le confirmer. Actif depuis 2020, ce collectif est connu pour publier des bases de données massives sur des forums criminels et pour utiliser l’ingénierie sociale afin d’infiltrer des environnements cloud. Mais d’autres acteurs cherchent à brouiller les pistes. Un canal Telegram baptisé « Scattered LAPSUS$ Hunters 4.0 », rassemblant près de 40 000 abonnés, revendique également l’opération. Selon Google, ces affirmations reposent surtout sur des informations publiques, et non sur des éléments probants. La popularité soudaine de ce canal semble davantage servir à promouvoir un nouveau forum de revente de données, Breachstars, qu’à informer réellement sur l’incident.

Les recoupements opérés par des analystes montrent par ailleurs une proximité dans les techniques utilisées par ShinyHunters et par le groupe Scattered Spider. Tous deux privilégient l’abus de jetons valides et de mécanismes de Single Sign-On pour progresser sans déclencher d’alertes. Cette convergence brouille encore plus l’attribution et complexifie la réponse des victimes. Dans ce contexte, Google et Salesforce appellent à une invalidation massive des jetons et à une réauthentification générale des services interconnectés.

Une menace durable pour l’écosystème cloud

Les conclusions préliminaires montrent qu’il reste difficile de déterminer comment les attaquants ont obtenu tous les jetons Drift. Mais les experts s’accordent sur un point : l’incident ne se résume pas à une fuite ponctuelle. La compromission de jetons ouvre une brèche persistante, car chaque service tiers lié à Salesloft peut à son tour devenir une porte d’entrée pour les attaquants. Le problème dépasse donc largement une seule application et met en lumière les risques systémiques des intégrations cloud.

La situation actuelle s’inscrit dans une dynamique plus large : celle de la dépendance croissante des entreprises à des services interconnectés, où chaque maillon faible peut fragiliser l’ensemble de la chaîne.

En définitive, le piratage de Salesloft marque un tournant. Il met en évidence la fragilité des intégrations cloud et l’exploitation grandissante des jetons d’accès par les cybercriminels. L’incident souligne l’urgence pour les entreprises d’adopter une gouvernance stricte des identités et des accès, en surveillant et en révoquant régulièrement les jetons interservices. Faute de quoi, chaque intégration utile au quotidien peut devenir la prochaine faille exploitée.

Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.

☕ Offrir un café
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre. Cette nouvelle édition tient compte de l'actualité en matière de sécurité informatique et voit l'apparition de trois nouveaux chapitres qui traitent de la sécurité des mobiles, des voitures connectées et de l'étude des malwares.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.