Une cyberattaque généralisée a compromis les données Salesforce de plus de 200 entreprises, suite à une faille chez Gainsight, un fournisseur de plateforme de support client. L’incident met en évidence l’augmentation des risques au sein des chaînes d’approvisionnement en logiciels et la sophistication croissante des groupes de piratage informatique.
La violation et les entreprises concernées
Les pirates informatiques, opérant sous le nom de Scattered Lapsus$ Hunters (y compris des membres du gang ShinyHunters), ont réussi à extraire des données de nombreuses instances Salesforce via des applications publiées par Gainsight. Alors que Salesforce avait initialement minimisé l’incident, affirmant qu’aucune vulnérabilité n’existait au sein de sa plateforme, il est désormais confirmé que l’étendue de la violation affecte plus de 200 organisations.
Le groupe de piratage a publiquement revendiqué la responsabilité de cibler de grandes entreprises, notamment Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters et Verizon. Malgré ces affirmations, la portée exacte des données compromises reste floue, car de nombreuses entreprises n’ont pas encore reconnu publiquement leur implication.
Comment le piratage a fonctionné
L’attaque s’est appuyée sur une campagne précédente ciblant Salesloft, une autre plateforme marketing. Les pirates ont volé les jetons d’authentification Drift aux clients Salesloft, leur accordant un accès non autorisé aux comptes Salesforce liés. Gainsight, en tant que client de Salesloft, a ensuite été compromis, créant un effet en cascade qui a exposé les données de ses clients. Les pirates ont confirmé plus tard que l’intégralité de la compromission de Gainsight provenait de ce piratage antérieur.
Réponses et enquêtes de l’entreprise
Les réactions des entreprises concernées ont varié. CrowdStrike a rapidement déclaré qu’il n’était pas affecté et a licencié un interne présumé qui aurait pu aider les pirates. Verizon a rejeté ces affirmations comme étant « non fondées », tandis que Malwarebytes et Thomson Reuters ont confirmé qu’ils enquêtaient. Docusign, même s’il n’a trouvé aucune preuve immédiate de compromission, a mis fin de manière proactive aux intégrations Gainsight par mesure de précaution. Salesforce a temporairement révoqué les jetons d’accès actifs pour les applications connectées à Gainsight par mesure de précaution.
Extorsion et menaces futures
Scattered Lapsus$ Hunters prévoit de lancer un site Web d’extorsion la semaine prochaine pour exiger une rançon des victimes, reflétant les tactiques utilisées lors d’incidents précédents. Le groupe, un collectif de hackers anglophones issus de gangs comme ShinyHunters, Scattered Spider et Lapsus$, est spécialisé dans l’ingénierie sociale pour infiltrer les systèmes.
Vue d’ensemble
Cet incident souligne la vulnérabilité des écosystèmes logiciels interconnectés. Les applications et intégrations tierces peuvent servir de maillons faibles, permettant aux attaquants d’accéder aux données sensibles détenues par les grandes entreprises. Le fait que Salesforce ait pris ses distances par rapport à la violation, même si ses clients étaient touchés, soulève des questions sur la responsabilité de la plateforme en matière de sécurité de la chaîne d’approvisionnement.
Cette attaque nous rappelle brutalement que la sécurité des données ne consiste pas seulement à protéger ses propres systèmes, mais également à vérifier les pratiques de sécurité de chaque service connecté.
