De KLM à Stellantis, de nombreuses entreprises ont été forcées de signaler des fuites de données ces derniers mois suite à des attaques de phishing (hameçonnage) via une ‘plateforme logicielle tierce’. Dans bien des cas, cette plateforme est une appli sur Salesforce, qui fait actuellement l’objet d’une vague de poursuites judiciaires.
Le constructeur automobile Stellantis, la plateforme RH Workday, la compagnie aérienne KLM, ainsi qu’Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co. et Pandora ont tous dû signaler des fuites de données ces derniers mois. Des adresses mail et des coordonnées de clients ont généralement été volées lors d’une attaque sur une plateforme tierce.
Ces attaques, parmi des centaines d’autres, ont été en grande partie revendiquées par le même groupe, un gang se faisant appeler ShinyHunters. De mai à fin août, ces hackers ont utilisé des jetons OAuth de Salesloft Drift pour voler des données de comptes Salesforce.
Le côté technique
Comment ont-ils procédé? On connaît Salesforce, la principale plateforme CRM utilisée par les entreprises pour gérer leurs bases de données clients. De son côté, Salesloft Drift est une plateforme tierce supplémentaire qui interconnecte un AI-chatbot ou un agent d’IA de Drift à Salesforce. L’objectif est de permettre à différentes organisations de synchroniser leurs conversations et d’importer des prospects dans leurs systèmes CRM. Mais il arrive que les choses tournent mal.
Comme l’a notamment observé le Google Threat Intelligence Group (GTIG), lors d’une campagne de grande envergure, des hackers ont eu recours à des jetons OAuth (autorisations d’accès) de l’application Salesloft Drift en vue d’extraire d’importantes quantités de données clients de Salesforce. Ils ont utilisé des requêtes pour obtenir des informations sur des objets Salesforce tels que Cases, Accounts, Users et Opportunities. Grâce à ces objets, ils ont pu rapatrier des données comme des noms d’utilisateur, adresses mail, numéros de téléphone, etc. Le danger pour les clients réside donc principalement dans le fait que les hackers possèdent désormais toutes sortes de données pour les piéger par hameçonnage.
Après avoir été informées des attaques, les deux entreprises ont supprimé l’accès aux jetons. Salesforce a également retiré jusqu’à nouvel ordre l’application Drift de sa boutique d’applis et recommande aux entreprises de la désactiver temporairement. Selon GTIG, il ne s’agirait pas d’une vulnérabilité dans la plateforme principale de Salesforce, mais plutôt au niveau de la connexion avec l’application Drift AI. Salesforce a déclaré dans un communiqué que cela n’a aucun impact sur ses clients qui n’utilisent pas l’intégration Drift-Salesforce.
Conséquences
Certaines victimes ont intenté des poursuites contre Salesforce en Californie, l’état où se trouve le siège social de l’entreprise. Une quinzaine de plaintes ont été déposées, dont plusieurs visent à obtenir le statut de recours collectif. L’éditeur de CRM est accusé de ne pas avoir suffisamment assuré la sécurité de ses données. Les informations volées auraient fait des plaignants une cible pour usurpation d’identité et autres délits.
Salesforce a toujours affirmé que les attaques n’étaient pas dues à des vulnérabilités dans ses propres systèmes. Cependant, de nombreux plaignants indiquent que les fuites de données et les attaques de phishing auxquelles ils ont été confrontés, peuvent être liées à des attaques visant des systèmes Salesforce et Salesloft Drift. Quoi qu’il en soit, cela constitue un cas intéressant pour la sécurité de la chaîne d’approvisionnement.