Fuite de jetons Salesloft : Slack, Google, AWS et Salesforce exposés

Un vol massif de jetons Salesloft expose les données de milliers d’entreprises. Les groupes criminels ShinyHunters et Scattered Spider sont suspectés

Le piratage qui a frappé Salesloft, éditeur d’un chatbot largement intégré aux plateformes d’entreprises, a déclenché une onde de choc dans l’écosystème cloud. Plus de 5 000 clients exploitant cette solution pour interfacer Salesforce, Slack, Google Workspace, AWS ou encore Azure, se retrouvent exposés au vol de jetons d’authentification. Ces jetons, une fois compromis, donnent aux attaquants un accès direct aux systèmes ciblés sans avoir besoin de forcer de mots de passe ou de contourner d’autres protections.

Selon KrebsOnSecurity, Google Threat Intelligence Group (GTIG) estime que les intrusions ont commencé dès le 8 août 2025 et se sont prolongées pendant plusieurs jours, compromettant la confidentialité des données d’entreprises de premier plan.

Des intégrations cloud devenues une porte d’entrée

Les attaquants ont utilisé les jetons volés pour extraire des volumes massifs de données depuis de nombreux environnements Salesforce. Google précise que les criminels ont ciblé des identifiants hautement sensibles tels que des clés AWS, des accès VPN et des comptes Snowflake. La menace ne se limite donc pas à Salesforce : la compromission touche l’ensemble des services interconnectés par Salesloft Drift. En réponse, Salesforce a bloqué les intégrations et conseillé à ses clients de révoquer immédiatement tout jeton lié. Google a confirmé que des comptes Google Workspace, configurés pour interagir avec Salesloft, ont eux aussi été exposés.

Cette chaîne d’accès illustre ce que les experts appellent « authorization sprawl », où la prolifération des jetons multiplie les surfaces d’attaque. Joshua Wright, spécialiste en cybersécurité, décrit ce phénomène comme une faiblesse structurelle : les cybercriminels n’ont pas besoin de créer de malwares sophistiqués, ils exploitent les accès légitimes déjà présents.

Entre revendications et confusion autour des auteurs

La question de l’attribution reste floue. Si le groupe ShinyHunters est soupçonné d’être derrière l’attaque, aucune preuve formelle ne permet de le confirmer. Actif depuis 2020, ce collectif est connu pour publier des bases de données massives sur des forums criminels et pour utiliser l’ingénierie sociale afin d’infiltrer des environnements cloud. Mais d’autres acteurs cherchent à brouiller les pistes. Un canal Telegram baptisé « Scattered LAPSUS$ Hunters 4.0 », rassemblant près de 40 000 abonnés, revendique également l’opération. Selon Google, ces affirmations reposent surtout sur des informations publiques, et non sur des éléments probants. La popularité soudaine de ce canal semble davantage servir à promouvoir un nouveau forum de revente de données, Breachstars, qu’à informer réellement sur l’incident.

Les recoupements opérés par des analystes montrent par ailleurs une proximité dans les techniques utilisées par ShinyHunters et par le groupe Scattered Spider. Tous deux privilégient l’abus de jetons valides et de mécanismes de Single Sign-On pour progresser sans déclencher d’alertes. Cette convergence brouille encore plus l’attribution et complexifie la réponse des victimes. Dans ce contexte, Google et Salesforce appellent à une invalidation massive des jetons et à une réauthentification générale des services interconnectés.

Une menace durable pour l’écosystème cloud

Les conclusions préliminaires montrent qu’il reste difficile de déterminer comment les attaquants ont obtenu tous les jetons Drift. Mais les experts s’accordent sur un point : l’incident ne se résume pas à une fuite ponctuelle. La compromission de jetons ouvre une brèche persistante, car chaque service tiers lié à Salesloft peut à son tour devenir une porte d’entrée pour les attaquants. Le problème dépasse donc largement une seule application et met en lumière les risques systémiques des intégrations cloud.

La situation actuelle s’inscrit dans une dynamique plus large : celle de la dépendance croissante des entreprises à des services interconnectés, où chaque maillon faible peut fragiliser l’ensemble de la chaîne.

En définitive, le piratage de Salesloft marque un tournant. Il met en évidence la fragilité des intégrations cloud et l’exploitation grandissante des jetons d’accès par les cybercriminels. L’incident souligne l’urgence pour les entreprises d’adopter une gouvernance stricte des identités et des accès, en surveillant et en révoquant régulièrement les jetons interservices. Faute de quoi, chaque intégration utile au quotidien peut devenir la prochaine faille exploitée.