Quand l’intégration SaaS à SaaS devient le maillon faible des entreprises

L’écosystème cloud moderne se construit sur la connectivité et l’interconnexion des outils. Les intégrations SaaS-à-SaaS apportent une flexibilité précieuse pour les entreprises, accélérant les flux de travail et l’innovation. Mais cette ouverture crée aussi de nouveaux vecteurs de risque, qu’il devient essentiel d’anticiper et de maîtriser.

Entre le 8 et le 18 août 2025, une cyberattaque attribuée à UNC6395 a abouti à la compromission de Drift (une plateforme de marketing conversationnel permettant de mettre à disposition un chatbot sur le site de l’entreprise), certainement grâce à l’accès d’un tiers. Grâce à cela, les attaquants ont pu aobtenir des jetons Oauth (une sorte de badge temporaire qui autorise une application à accéder aux données d’un utilisateur sans utiliser le mot de passe) pour accéder à Salesforces (un logiciel de gestion de la relation client) en toute discrétion. Cette attaque a mis en valeur une faille systémique : la vulnérabilité de la chaîne d’approvisionnement logicielle.

Que s’est-il passé exactement ?

Par l’approche subtile et efficace de son auteur, cette cyberattaque est un cas d’école : ce n’est pas Salesforce qui a été directement ciblé, mais un intermédiaire. C’est l’exemple type d’une attaque de la chaîne d’approvisionnement logicielle.

Selon Google Threat Intelligence Group et Mandiant, la cyberattaque a eu lieu en deux temps. Tout d’abord, l’attaquant a réussi à s’infiltrer dans l’infrastructure de Drift, probablement en ciblant un partenaire ou une application ayant un accès privilégié. Pour fonctionner, Drift a des autorisations légitimes pour accéder aux données des clients Salesforce, autrement dit des jetons Oauth. L’attaquant a réussi à s’en emparer une fois infiltré dans l’environnement de Drift.

Ces jetons sont essentiels au fonctionnement des intégrations modernes. Plutôt que de stocker un mot de passe, un jeton OAuth permet à une application d’agir au nom d’un utilisateur sur une autre application pour une période limitée. La compromission de ces jetons a fourni à l’attaquant un accès légitime et indétectable aux données des clients.

Dans un second temps, l’attaquant a pu accéder au compte Salesforce des clients qui avaient intégré Drift, grâce aux jetons OAuth actifs. C’est là que réside la vulnérabilité des intégrations SaaS à SaaS : il n’a pas eu besoin de contourner la sécurité de Salesforce, il a simplement utilisé la porte d’entrée que les utilisateurs avaient eux-même autorisé, en toute discrétion. Comme l’accès est légitime, les professionnels chargés de la sécurité n’ont pas reçu de notification pour les alerter de l’intrusion.

L’objectif était clair : voler des données sensibles. Les attaquants ont récupéré à la fois des informations clients (coordonnées, postes), commerciales (comptes et opportunités) et techniques (clés AWS, mots de passe, jetons Snowflake). L’attaquant a procédé à des requêtes précises pour extraire les données, puis a méthodiquement supprimé les “quercy jobs” pour essayer d’effacer les traces. Les journaux d’événements de Salesforce ont cependant permis aux équipes de sécurité de reconstituer ses actions.

Que sait-on de l’auteur de cette cyberattaque ?

Jusqu’au 12 septembre dernier, on possédait très peu d’informations sur l’auteur de cette attaque. Il était identifié par les équipes de Google Threat Intelligence comme UNC6395, ce qui signifie que les analystes n’étaient pas encore en mesure de l’identifier formellement et de le rattacher à un groupe cybercriminel. Dans son rapport sur l’incident, Google Threat Intelligence émettait même l’hypothèse que l’attaquant pourrait être un acteur étatique chinois.

Mais le 12 septembre dernier, dans un communiqué, le FBI a désigné Scattered Spider comme l’auteur de cette opération. Il s’agit d’un groupe de cybercriminels spécialisé dans l’ingénierie sociale et la prise de contrôle de téléphones, qui ciblent les grandes entreprises pour obtenir des identifiants et voler des données. Effectivement, dans cette attaque, les analystes de Google avait noté que, dans cette attaque, l’attaquant était principalement intéressé par le gain financier. Il n’était pas caractérisé par un comportement opportuniste et menait des actions réfléchies en ciblant des données à haute valeur, ainsi que des informations d’identification pour la revente ou pour d’autres attaques.

Scattered Spider a utilisé une stratégie courante des attaques de la chaîne d’approvisionnement, consistant à s’attaquer à un partenaire ou à un fournisseur moins sécurisé pour atteindre la cible finale. Sa méthode est marquée par une compréhension approfondie des flux d’authentification OAuth et des interconnexions entre les services cloud. L’attaquant a su se montrer très discret, agissant comme un utilisateur légitime une fois les jetons d’accès volés.

Le communiqué du FBI est intéressant parce qu’il place l’attaque dans un contexte plus large. Elle ne serait qu’une simple opération dans une campagne beaucoup plus vaste, qui aurait débuté en octobre 2024. En plus de Scattered Spider, le FBI désigne un autre groupe, UNC6040 ou ShinyHunters, comme responsable d’exfiltration de données sur SalesForce. Il s’agit d’un groupe de cybercriminels, en partie français mais avec une portée internationale, spécialisé dans le vol et la fuite de bases de données massives, qu’ils revendent ou utilisent pour extorquer des rançons à leurs victimes. Selon les autorités américaines, cette campagne serait donc le fruit de la collaboration entre ces deux groupes.

Les tactiques employées par les deux groupes auraient évolué au fil des mois. Ils ont d’abord accédé aux organisations par des attaques d’ingénierie sociale, en contactant des centres d’appels et en se faisant passer pour des employés du service informatique. Cela leur permettait généralement d’obtenir les identifiants des employés. Les attaquants ont aussi utilisé des e-mails ou des SMS d’hameçonnage pour prendre le contrôle des téléphones ou des ordinateurs des employés. Mais cet été, leurs méthodes ont changé : ils ont commencé à exploiter des applications tierces que les entreprises avaient connectées à leurs instances Salesforce.

La supply chain logicielle au coeur des attaques

Le cas de Salesforces est loin d’être un cas isolé. Depuis les années 2020, les attaques visant la supply chain logicielle se sont multipliées. Selon une étude de CheckMarx publiée en 2024, 63% des organisations ont subi une cyberattaque contre leur système de protection de la supply chain logicielle au cours de ces deux dernières années. Ces attaques marquent un tournant : ce n’est plus un réseau qu’on défend, mais un écosystème entier.

Dans ce domaine, le cas de Solarwinds avait engendré une prise de conscience en 2020. Les attaquants avaient réussi à s’introduire dès octobre 2019 dans le système d’information de l’entreprise grâce à un mot de passe faible de l’un des employés (« solarwinds123 ») qui aurait été partagé sur GitHub. Une fois à l’intérieur, les pirates ont ciblé l’environnement de développement du logiciel Orion. Ils y ont discrètement inséré leur code malveillant, le « backdoor » Sunburst, dans des mises à jour logicielles de routine. Cette intrusion est restée indétectable pendant des mois, parce que les attaquants ont réussi à faire signer numériquement le code malveillant avec le certificat de sécurité de SolarWinds. Cela a rendu la mise à jour vérolée virtuellement impossible à distinguer d’une mise à jour légitime. Résultat : environ 18 000 clients ont téléchargé celle-ci, mais les attaquants n’ont par la suite ciblé que les entreprises les plus importantes ou les agences gouvernementales.

La supply chain n’est plus seulement une affaire de matériel ou de logistique : elle est désormais entièrement logicielle. Chaque application repose sur une constellation de dépendances : bibliothèques open source, API, services cloud, connecteurs tiers, places de marché d’applications… Autant de points d’entrée possibles pour des attaquants. Ces derniers n’ont plus besoin d’installer du code malveillant dans une usine : il leur suffit de compromettre une mise à jour logicielle, d’exploiter une faille dans un pipeline CI/CD ou de récupérer des clés API mal protégées. Les intégrations SaaS en particulier – comme celles reliant Drift, Salesforce ou d’autres CRM – multiplient ces « portes dérobées » potentielles.

Que retenir de cette attaque ?

Ces attaques démontrent que la sécurité doit être envisagée de façon globale, et non application par application. Chaque intégration peut constituer une vulnérabilité. Heureusement, quelques mesures simples permettent d’éviter une cyberattaque comme celle subie par Drift et Salesforce.

Pour limiter ces risques, il est essentiel de surveiller en temps réel les intégrations SaaS, en cartographiant les connexions via les API afin d’identifier toutes les applications, services et jetons OAuth actifs. Toute activité inhabituelle, comme des volumes d’exportation de données anormaux, doit être rapidement signalée, même si les appels d’API semblent légitimes.

Cette mesure est complémentaire d’une analyse comportementale des jetons OAuth. Il convient d’établir des références pour le comportement habituel de chaque intégration. En cas de comportement suspect, des alertes et un confinement automatisé peuvent être mis en place pour aider les équipes de sécurité à gérer le risque.

Pour détecter rapidement les tentatives d’exfiltration, la surveillance des mouvements de données est aussi une bonne idée, surtout s’il s’agit de mouvements importants.

L’attaque contre Drift et Salesforce n’est pas un incident isolé. Elle est un signal clair pour toutes les organisations que la sécurité ne s’arrête plus à la frontière de leur propre infrastructure. La prolifération des intégrations SaaS-à-SaaS, si elles ne sont pas gérées avec rigueur, peut créer des failles critiques dans la chaîne d’approvisionnement logicielle. Cet événement a démontré qu’une confiance mal placée peut se retourner contre une entreprise, peu importe sa taille.