Microsoft a enquêté sur un an d’activité liée à ShinyHunters contre des environnements Salesforce. Ils ont découvert que des employés ont autorisé de fausses applications, mais également des prestataires qui ont perdu des jetons d’accès et des attaquants qui ont exploité des portails mal configurés pour siphonner des données clients dans plusieurs secteurs.

À chaque fois, un utilisateur réel valide une application, ou une intégration déjà autorisée et produit un trafic identique à un usage ordinaire. Les journaux d'authentification classiques n'enregistrent donc rien d'anormal - ©ChristianLphoto / Shutterstock
À chaque fois, un utilisateur réel valide une application, ou une intégration déjà autorisée et produit un trafic identique à un usage ordinaire. Les journaux d'authentification classiques n'enregistrent donc rien d'anormal - ©ChristianLphoto / Shutterstock

Entre l’été 2025 et l'été 2026, des groupes aux méthodes proches de celles de ShinyHunters ont pénétré des environnements Salesforce d’entreprises sans exploiter la moindre faille du logiciel. Ils ont profité de la confiance déjà accordée par l’organisation, notamment par les connexions OAuth qui relient Salesforce à d’autres applications et prestataires. Microsoft a découvert des voies d'accès dans une recherche publiée hier, menée en coopération avec Salesforce pour construire de nouveaux outils de détection et de gouvernance. L’éditeur a repéré cette activité chez des clients du commerce et de l’éducation, avec des cas relevés aussi dans l’industrie. À chaque fois, un utilisateur réel valide une application, ou une intégration déjà autorisée et produit un trafic identique à un usage ordinaire. Les journaux d’authentification classiques n’enregistrent donc rien d’anormal.

Trois portes d’entrée et pourtant, aucune faille technique

Il n’y a aucune faille logicielle, seulement de la confiance mal placée.

Dès la mi-2025, des attaquants ont usurpé l’identité du support informatique pour joindre des employés par téléphone. Après les avoir guidés jusqu’à l’écran de consentement OAuth de Salesforce, la victime valide une fausse application calquée sur l’outil Data Loader. Cette application obtient alors des droits d’accès complets aux données CRM, sans mot de passe ni logiciel malveillant. Le groupe de renseignement de Google et Mandiant a analysé cette campagne sous les noms UNC6040 et UNC6240. On vous le rapportait à l’époque, Google avait confirmé qu'une de ses instances Salesforce internes avait été visées. Chanel, Pandora, Adidas, Qantas et plusieurs maisons LVMH avaient également été touchés par la même vague.

Dans le second cas de figure, les attaquants attaquent directement un prestataire dont l’application détient déjà un accès OAuth à Salesforce, puis réutilisent ses jetons volés pour exporter les données de dizaines de clients à la fois. En août dernier, des attaquants ont dérobé les jetons de l’intégration Drift de Salesloft, et ont exposé selon Google plus de 700 organisations dont Cloudflare et Zscaler. En novembre, une attaque comparable a visé Gainsight, sur plus de 200 instances. Enfin en juin dernier, un identifiant de test oublié a livré la plateforme Klue et ses clients, dont Huntress.

La troisième technique exploite des comptes invités mal configurés sur les sites Experience Cloud. Ils ont permis à des attaquants d’extraire des volumes de données bien supérieurs à la limite normale de 2 000 enregistrements.

Entre l'été 2025 et l'été 2026, des groupes aux méthodes proches de celles de ShinyHunters ont pénétré des environnements Salesforce d'entreprises sans exploiter la moindre faille du logiciel - ©Microsoft
Entre l'été 2025 et l'été 2026, des groupes aux méthodes proches de celles de ShinyHunters ont pénétré des environnements Salesforce d'entreprises sans exploiter la moindre faille du logiciel - ©Microsoft

La riposte commune de Microsoft et Salesforce

Microsoft et Salesforce unissent leurs forces sur deux fronts. D’abord la détection. Un nouveau connecteur Defender for Cloud Apps intègre le suivi d’événements en temps quasi réel de Salesforce et relie chaque activité suspecte à l’application qui l’a générée, avec ses droits OAuth exacts. Les analystes identifient enfin l'application responsable, et non plus seulement l’utilisateur connecté.

Ensuite la gouvernance. Microsoft ajoute un tableau des applications aux droits élevés. Un second outil signale les applications inactives depuis 90 jours ou plus, qui gardent pourtant leurs autorisations. Microsoft attribue à chaque application une note de risque, sur une échelle de 0 à 100, directement exploitable dans les politiques d'’alerte.

Cette double riposte ne concerne toutefois que les clients de Defender for Cloud Apps. Or la plupart des entreprises françaises clientes de Salesforce n’ont pas cette licence, alors que le RGPD prévoit pour elles les mêmes obligations que pour les plus grands groupes. Elles doivent notifier la CNIL sous 72 heures dès qu’une violation de données personnelles est avérée, même si le vol de jetons a eu lieu chez un prestataire.

Un administrateur Salesforce sans licence Defender peut malgré tout intervenir directement contre les deux premières techniques. Dans les paramètres de configuration, il ouvre la liste des applications connectées, compare les périmètres OAuth accordés à chacune, puis révoque en priorité celles restées inactives depuis des mois, même si elles conservent un accès complet aux enregistrements CRM. Il applique ensuite un contrôle identique aux comptes invités des sites Experience Cloud, pour fermer la troisième porte, celle exploitée par la lecture directe des données via Aura sans authentification.

À découvrir
Meilleur antivirus : le comparatif en 2026
Comparatifs services