Portes ouvertes dans le cloud : comment des erreurs de configuration Salesforce négligées exposent des données sensibles

Tout commence discrètement : une permission mal configurée ici, un paramètre négligé là. Mais pour les organisations qui s’appuient sur le puissant Experience Cloud de Salesforce, ces petites erreurs peuvent ouvrir grand les portes à un véritable trésor de données personnelles. Désormais, un nouvel outil dévoilé par la société de cybersécurité Mandiant met en lumière ces vulnérabilités cachées et soulève de sérieuses questions sur la sécurité du CRM cloud le plus populaire au monde.

En bref

• AuraInspector est un outil open source en ligne de commande publié par Mandiant pour auditer les erreurs de configuration d’Aura sur Salesforce.
• L’outil automatise la découverte de failles dangereuses dans le contrôle d’accès pouvant exposer des cartes bancaires, des pièces d’identité et des données de santé.
• Les attaquants peuvent exploiter des permissions mal configurées pour accéder à des milliers d’enregistrements, parfois même en tant qu’utilisateurs non authentifiés.
• Une méthode GraphQL jusqu’alors non documentée permet de contourner la limite de récupération de 2 000 enregistrements de Salesforce.
• La version publique de Mandiant ne comprend pas les fonctions d’extraction de données afin d’éviter les abus, ne proposant que des capacités de détection.

Le framework Aura de Salesforce alimente l’interface Lightning Experience, fluide et dynamique, utilisée par les entreprises du monde entier. Mais sous cette apparence conviviale, les chercheurs en sécurité s’inquiètent depuis longtemps de la complexité de ses règles de partage et de ses permissions à plusieurs niveaux. Ces subtilités, censées permettre un contrôle granulaire, laissent souvent les administrateurs aveugles à des erreurs de configuration discrètes mais dévastatrices.

L’équipe de sécurité offensive de Mandiant a constaté à plusieurs reprises que des utilisateurs invités - sans authentification - pouvaient parfois accéder à des données sensibles à cause de ces paramètres négligés. Lors de tests contrôlés, ils ont démontré qu’une seule permission mal configurée pouvait permettre à des personnes extérieures de récupérer des milliers de dossiers clients. Plus inquiétant encore, les attaquants peuvent utiliser des méthodes API Aura légitimes comme getItems et getConfigData pour énumérer et extraire des données du backend, tout en échappant à la plupart des outils de surveillance.

AuraInspector automatise la recherche de telles expositions. Il scanne les points d’accès accessibles, recherche les URLs d’accueil (qui peuvent mener à des panneaux d’administration) et vérifie si l’auto-inscription est secrètement activée - un moyen facile pour les attaquants de créer des comptes et d’escalader leurs privilèges. L’avantage technique de l’outil réside dans sa capacité à regrouper jusqu’à 100 actions par requête, minimisant ainsi la détection, et dans l’utilisation du paramètre sortBy pour contourner la limite de 2 000 enregistrements de Salesforce.

La véritable révélation : Mandiant a découvert un contrôleur Aura GraphQL non documenté qui, lorsque les permissions sont laxistes, permet aux attaquants d’extraire un nombre illimité d’enregistrements via une pagination basée sur curseur - sans clé API requise. Dans un cas, cette faille a exposé tout un tableau de bord d’administration sur Internet. Salesforce affirme qu’il s’agit d’un comportement attendu si la configuration est correcte, mais la facilité d’exploitation dans des environnements mal gérés est inquiétante.

Il est important de noter qu’il ne s’agit pas de bugs logiciels, mais d’erreurs humaines et de dérives de configuration. Le conseil de Mandiant est sans détour : auditez les permissions invitées, appliquez le principe du moindre privilège, désactivez l’auto-inscription inutile et révisez régulièrement les règles de partage. AuraInspector, désormais disponible sur GitHub (sans modules d’extraction de données), offre aux équipes de sécurité une chance de détecter et corriger ces failles avant les criminels.

À mesure que les organisations migrent vers le cloud, AuraInspector met en lumière une réalité difficile : dans le monde du SaaS, le maillon le plus faible est souvent votre propre configuration. Chaque nouvelle fonctionnalité ou interface est une occasion de commettre une erreur - et une nouvelle fenêtre pour les cybercriminels. Dans cet environnement à haut risque, la vigilance n’est pas une option, c’est une question de survie.

WIKICROOK

• Framework Aura : Le Framework Aura est le framework d’interface utilisateur open source de Salesforce, qui alimente Lightning Experience et Experience Cloud avec des composants dynamiques et réutilisables pour les applications web.
• Erreur de configuration du contrôle d’accès : Une erreur de configuration du contrôle d’accès survient lorsque les paramètres de permission sont incorrects, permettant à des utilisateurs non autorisés d’accéder à des données ou systèmes sensibles, ce qui peut entraîner des failles de sécurité.
• GraphQL : GraphQL est un langage de requête pour API qui permet aux clients de demander des données spécifiques, améliorant ainsi l’efficacité et la flexibilité de la récupération des données.
• Curseur : Un curseur est un pointeur visuel ou logique indiquant où les actions de l’utilisateur ou les opérations de données auront lieu dans un logiciel ou une base de données.
• Principe du moindre privilège : Le principe du moindre privilège consiste à accorder aux utilisateurs uniquement les accès minimums nécessaires à l’exécution de leurs tâches, réduisant ainsi les risques de sécurité et les abus potentiels.