brève actu
La brèche de Salesloft a permis à des hackers de voler en mars déjà des tokens d’authentification. Ces tokens ont ensuite été utilisés 6 mois plus tard dans une attaque massive contre plusieurs grandes entreprises technologiques.
En mars 2025, des hackers ont réussi à pénétrer le compte GitHub de Salesloft, une plateforme de vente en ligne, en volant des tokens d’authentification. Ces tokens ont été utilisés pour mener une attaque à grande échelle ciblant des entreprises technologiques majeures, telles que Google, Zscaler, Cloudflare, et Palo Alto Networks. L’incident, bien que désormais contenu, a mis en lumière des failles de sécurité importantes, notamment un délai de six mois avant la détection de l’intrusion. L’impact de cet événement souligne la nécessité de renforcer la sécurité des environnements numériques des entreprises.
Une attaque orchestrée via des tokens volés
L’accès non autorisé à GitHub a permis aux hackers de télécharger des données de plusieurs dépôts de Salesloft, d’ajouter un utilisateur invité et de créer des workflows. Selon Security Affairs, les intrus ont également pénétré l’environnement AWS de Salesloft lié à sa plateforme Drift, dérobant des tokens OAuth utilisés par les clients de Drift. Ces tokens ont ensuite été exploités pour accéder aux données via les intégrations technologiques de Drift. Bien que Salesloft ait pris des mesures pour contenir la brèche, la lenteur de la détection a soulevé des préoccupations quant à l’efficacité de leur sécurité.
D’avril à juin 2025, les hackers ont poursuivi leurs activités de reconnaissance dans les environnements applicatifs de Salesloft et Drift. L’enquête menée par Mandiant a révélé que les intrus avaient la capacité de manipuler les systèmes en place, compromettant ainsi la sécurité des données des clients. Les attaques de vol de données sur Salesforce ont eu un impact significatif, touchant des clients majeurs. Comme le rapporte Bleeping Computer, l’attaque a été facilitée par l’utilisation des tokens OAuth volés.
Offrez un café pour soutenir cette veille indépendante.
☕ Je soutiens DCODEn réponse à l’incident, Salesloft a pris des mesures drastiques pour sécuriser son infrastructure. La plateforme Drift a été mise hors ligne le 5 septembre 2025, et des mesures de segmentation plus strictes ont été mises en place entre Salesloft et Drift. Salesforce a rétabli les intégrations avec Salesloft le 7 septembre, mais a décidé de maintenir Drift désactivé jusqu’à nouvel ordre. Ces actions font partie d’une réponse continue pour renforcer la sécurité et éviter de futures intrusions. Les experts soulignent l’importance d’une détection rapide et d’une réponse efficace pour minimiser l’impact d’une telle attaque sur les entreprises et leurs clients.
💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.
💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.
Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕
