Découvrez dès maintenant notre plateforme d'e-learning avec nos formations en Cybersécurité & Digitale.
Notre offre Formation L'équipe Blog Guides
Contact
<- Retour au blog

SalesForce : le point commun de toutes ces attaques du mois ?

7 Septembre 2025 | Valentin

Illustration de l'article

recap

cyber

actu

Google, Workday, Pandora, Allianz, Dior ou encore Louis Vuitton : voila un petit extrait des entreprises ayant subit un leak de données début aout par le groupe d'attaquant ShinyHunters ayant choisi de passer par SalesForce pour arriver à leur fin.

Mais cette semaine, d'autres attaquants ont décidé de continuer sur la lancé de ShinyHunters en compromettant SalesLoft, porte d'entrée vers SalesForce couloir menant vers les données d'autres entreprises.

Alors on fait le point entre ces différentes attaques sur la supply Chain pour bien comprendre ce qu'il se passe avec SalesForce en ce moment !

Première vague

Début août 2025, c'est l'hécatombe ! Les plus grandes entreprises annoncent une à une un leak de leurs données, certaines en étant plus précises que d’autres, mais il n'a pas fallu très longtemps avant que l’on comprenne ce qu'il se passe : les instances Salesforce de ces entreprises sont compromises.

Salesforce, c'est l'outil le plus populaire pour gérer les infos des clients, contenant donc des tas d’infos personnelles et stratégiques pour les entreprises, ce qui en fait un outil ultra ciblé par les attaquants pour extorquer des données. Et d'ailleurs, c'est exactement cela une attaque sur la supply chain : faire tomber les outils utilisés par une entreprise, pour récupérer des données sur cette entreprise et non sur l'outil.

Dans notre cas, les attaquants s'en foutent de Salesforce, ce qui les intéresse, ce sont les données des clients de Salesforce stockées dans l’outil, donc des données d'autres grosses entreprises et, dans notre cas, des données clients d'autres grosses entreprises.

Pour revenir aux attaques de début août, les responsables sont ShinyHunters, groupes connus pour faire du Vishing en se faisant passer pour le support de l'entreprise et durant ces attaques, les hackers faisaient installer un plugin 'Data Loader' aux employés de l’entreprise pour ensuite effectuer de l'extraction massive de données.

Le plus amusant dans tout cela, c'est qu'en juin Google avait alerté sur cela et publié une liste de recommandations, avant à leur tour de tomber, le 5 août, dans le piège de ShinyHunters. ([1], [2], [3], [4])

Seconde vague

Fin août 2025, Google publie un nouveau rapport sur le groupe d’attaque UNC6395 utilisant lui aussi Salesforce pour récupérer des infos sur des gros comptes comme Zscaler ou Cloudflare, mais quel est le rapport avec la vague de début août ?

Et bien en réalité, il n'y a aucun lien entre ces attaques à part l'outil ciblé ! UNC6395 est bien un groupe d’attaque différent de ShinyHunters, au mode opérationnel tout aussi différent.

Salesforce, comme beaucoup de solutions, peut être intégré à d'autres solutions comme SalesLoft, une espèce de chatbot / IA récupérant des infos de Salesforce pour être le plus précis possible lorsqu'il discute avec un client.

UNC6395 cible donc des identifiants OAuth d'intégration sur l'outil SalesLoft pour récupérer un accès à Salesforce pour ensuite effectuer de l'extraction de données massives et espérer récupérer encore plus de crédentials pour continuer leur mouvement sur d'autres outils des entreprises, comme AWS par exemple.

Mais attention, il n'y a pas uniquement les intégrations avec Salesforce qui sont vulnérables, n'importe quelle intégration avec SalesLoft pourrait être compromise, Slack, Salesforce et Pardot ayant même stoppé l'intégration pour le moment ! ([5], [6], [7], [8], [9])

Et les attaquants ?

Entre la collaboration inattendue de plusieurs groupes d'attaquants ou les multiples attaques sur Salesforce par plusieurs groupes de hackers différents, août n'était pas de tout repos dans la cyber !

Si l'on tire une timeline de ces événements, de début juin à début août, ShinyHunters a ouvert le bal des attaques sur Salesforce avec son vishing ultra efficace, mais ces derniers jouaient aussi sur plusieurs tableaux !

Le 8 août, ils annoncent une collaboration inattendue avec Scattered Spider et Lapsus$ pour développer un concurrent à LockBit à travers un canal Telegram. Pourquoi cette collaboration ? Sois-disant en réponse à la prise en main du gouvernement français de BreachForum depuis juin 2024.

Et aussi, du 8 au 18 août, c'est le fameux groupe d’attaquants UNC6395 qui était actif en attaquant Salesforce, SalesLoft, mais aussi Slack ou Google Workspace.

La conclusion dans tout cela ? Les groupes d'attaquants se renforcent, sont plus efficaces et jouent parfois tous dans la même cours, parfois en concurrence mais parfois en formant des alliances inattendues ! ([10], [11], [12])

Toute l'actualité en cybersécurité, développement (WEB, Cloud) et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !