Un vol massif de jetons Salesloft expose les données de milliers d’entreprises. Les groupes criminels ShinyHunters et Scattered Spider sont suspectés
En bref
- Le vol de jetons d’authentification Salesloft menace des milliers d’entreprises en raison d’intégrations étendues avec des services critiques comme Slack, Salesforce, Google Workspace et AWS.
- Google a confirmé que les attaquants ont siphonné de vastes volumes de données, incluant des identifiants sensibles, et qu’ils ont exploité des intégrations tierces pour pénétrer des environnements clients.
- Salesforce a bloqué les connexions avec Salesloft Drift après avoir détecté que les jetons volés permettaient d’accéder à des comptes Google Workspace et à d’autres services cloud critiques.
- Les groupes criminels ShinyHunters et Scattered Spider sont suspectés, mais l’attribution reste incertaine tandis que les cybercriminels utilisent Telegram pour revendiquer et amplifier leurs menaces.
Le piratage qui a frappé Salesloft, éditeur d’un chatbot largement intégré aux plateformes d’entreprises, a déclenché une onde de choc dans l’écosystème cloud. Plus de 5 000 clients exploitant cette solution pour interfacer Salesforce, Slack, Google Workspace, AWS ou encore Azure, se retrouvent exposés au vol de jetons d’authentification. Ces jetons, une fois compromis, donnent aux attaquants un accès direct aux systèmes ciblés sans avoir besoin de forcer de mots de passe ou de contourner d’autres protections.
Selon KrebsOnSecurity, Google Threat Intelligence Group (GTIG) estime que les intrusions ont commencé dès le 8 août 2025 et se sont prolongées pendant plusieurs jours, compromettant la confidentialité des données d’entreprises de premier plan.
Des intégrations cloud devenues une porte d’entrée
Les attaquants ont utilisé les jetons volés pour extraire des volumes massifs de données depuis de nombreux environnements Salesforce. Google précise que les criminels ont ciblé des identifiants hautement sensibles tels que des clés AWS, des accès VPN et des comptes Snowflake. La menace ne se limite donc pas à Salesforce : la compromission touche l’ensemble des services interconnectés par Salesloft Drift. En réponse, Salesforce a bloqué les intégrations et conseillé à ses clients de révoquer immédiatement tout jeton lié. Google a confirmé que des comptes Google Workspace, configurés pour interagir avec Salesloft, ont eux aussi été exposés.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Cette chaîne d’accès illustre ce que les experts appellent « authorization sprawl », où la prolifération des jetons multiplie les surfaces d’attaque. Joshua Wright, spécialiste en cybersécurité, décrit ce phénomène comme une faiblesse structurelle : les cybercriminels n’ont pas besoin de créer de malwares sophistiqués, ils exploitent les accès légitimes déjà présents.
La conséquence est lourde pour les entreprises utilisatrices. Le vol d’un jeton ne compromet pas seulement l’application directement concernée mais l’ensemble des systèmes liés par des intégrations automatisées. L’effet domino est redoutable : un attaquant peut pivoter d’un service cloud à un autre sans être détecté, profitant de la confiance implicite des plateformes. C’est ce qui rend ce type d’incident particulièrement difficile à contenir et à corriger, même pour les équipes de sécurité les mieux préparées.
Entre revendications et confusion autour des auteurs
La question de l’attribution reste floue. Si le groupe ShinyHunters est soupçonné d’être derrière l’attaque, aucune preuve formelle ne permet de le confirmer. Actif depuis 2020, ce collectif est connu pour publier des bases de données massives sur des forums criminels et pour utiliser l’ingénierie sociale afin d’infiltrer des environnements cloud. Mais d’autres acteurs cherchent à brouiller les pistes. Un canal Telegram baptisé « Scattered LAPSUS$ Hunters 4.0 », rassemblant près de 40 000 abonnés, revendique également l’opération. Selon Google, ces affirmations reposent surtout sur des informations publiques, et non sur des éléments probants. La popularité soudaine de ce canal semble davantage servir à promouvoir un nouveau forum de revente de données, Breachstars, qu’à informer réellement sur l’incident.
Les recoupements opérés par des analystes montrent par ailleurs une proximité dans les techniques utilisées par ShinyHunters et par le groupe Scattered Spider. Tous deux privilégient l’abus de jetons valides et de mécanismes de Single Sign-On pour progresser sans déclencher d’alertes. Cette convergence brouille encore plus l’attribution et complexifie la réponse des victimes. Dans ce contexte, Google et Salesforce appellent à une invalidation massive des jetons et à une réauthentification générale des services interconnectés.
Une menace durable pour l’écosystème cloud
Les conclusions préliminaires montrent qu’il reste difficile de déterminer comment les attaquants ont obtenu tous les jetons Drift. Mais les experts s’accordent sur un point : l’incident ne se résume pas à une fuite ponctuelle. La compromission de jetons ouvre une brèche persistante, car chaque service tiers lié à Salesloft peut à son tour devenir une porte d’entrée pour les attaquants. Le problème dépasse donc largement une seule application et met en lumière les risques systémiques des intégrations cloud.
La situation actuelle s’inscrit dans une dynamique plus large : celle de la dépendance croissante des entreprises à des services interconnectés, où chaque maillon faible peut fragiliser l’ensemble de la chaîne.
En définitive, le piratage de Salesloft marque un tournant. Il met en évidence la fragilité des intégrations cloud et l’exploitation grandissante des jetons d’accès par les cybercriminels. L’incident souligne l’urgence pour les entreprises d’adopter une gouvernance stricte des identités et des accès, en surveillant et en révoquant régulièrement les jetons interservices. Faute de quoi, chaque intégration utile au quotidien peut devenir la prochaine faille exploitée.
Serveurs, API, outils de veille.
DCOD est un projet indépendant sans revenu. L'infra a un coût. Participez aux frais.
