Les fantômes de GitHub : comment des jetons OAuth volés ont alimenté la faille Salesloft Drift

En bref

• Des attaquants ont accédé à un compte GitHub de Salesloft de mars à juin 2025, téléchargeant du code privé et ajoutant de nouveaux utilisateurs.
• Des jetons OAuth compromis provenant de Drift ont été utilisés pour accéder à des données Salesforce dans plusieurs organisations.
• Les victimes incluent de grandes entreprises comme Zscaler, Palo Alto Networks, PagerDuty et Cloudflare, avec des données de contacts professionnels exposées.
• La société de cybersécurité Mandiant a mené l’enquête et confirmé que la faille était contenue fin août.
• Google et Mandiant relient l’attaque à l’acteur de menace UNC6395 ; un groupe se faisant appeler “Scattered Lapsus$ Hunters” revendique également la responsabilité.

Une faille née dans l’ombre du code

Imaginez une porte dérobée laissée ouverte dans un bureau animé, non par négligence mais à cause d’une clé oubliée. Pour Salesloft, cette clé était un compte GitHub. Entre mars et juin 2025, un intrus s’est discrètement introduit, fouillant dans des dépôts de code privés, ajoutant un mystérieux “invité” et créant de nouveaux workflows. La cible n’était pas seulement le code - les attaquants visaient les clés du royaume : les jetons OAuth, des passes numériques permettant aux applications de communiquer entre elles sans mot de passe.

De GitHub à Salesforce : sur la trace de l’attaque

Selon l’avis de Salesloft, rapporté par Hackread.com et confirmé par Mandiant, la faille a commencé lorsque les attaquants ont infiltré le GitHub de Salesloft, puis se sont tournés vers Drift - la plateforme d’IA conversationnelle de Salesloft. Là, ils ont dérobé des jetons OAuth appartenant à des clients de Drift. Ces jetons, une fois détournés, ont permis aux attaquants de se faire passer pour des applications de confiance et d’accéder aux données clients Salesforce intégrées à Drift.

Si l’environnement propre à Salesloft n’a subi qu’une reconnaissance - imaginez des cambrioleurs regardant par les portes sans entrer - , le véritable vol s’est produit dans le cloud AWS de Drift. Les actions des attaquants étaient précises : ils ont évité de déclencher des alarmes, se concentrant sur l’exfiltration discrète de données de contacts professionnels telles que noms, emails et intitulés de poste depuis les environnements Salesforce intégrés.

Une campagne à l’échelle de l’industrie

Ce n’était pas l’œuvre d’un loup solitaire. Le Threat Intelligence Group de Google et Mandiant ont découvert que la faille de Drift faisait partie d’une campagne plus large en août, ciblant les intégrations Salesforce dans tout le secteur technologique. Des géants comme Zscaler, Palo Alto Networks, PagerDuty, Cloudflare, TransUnion et Farmers Insurance ont confirmé que leurs propres données Salesforce avaient été consultées via des jetons OAuth Drift compromis.

Si l’attribution reste floue, Google pointe le groupe UNC6395, tandis qu’une coalition se faisant appeler “Scattered Lapsus$ Hunters” - clin d’œil à des gangs de hackers notoires - a publiquement revendiqué l’attaque. Les enquêteurs n’ont pas encore confirmé cette revendication.

Gestion des dégâts et leçons à retenir

Salesloft a réagi en réinitialisant tous les identifiants affectés, en isolant l’infrastructure de Drift et en mettant le service hors ligne. L’analyse médico-légale de Mandiant n’a trouvé aucune preuve que les attaquants soient allés au-delà de leurs cibles initiales, grâce notamment à une séparation technique entre Drift et les systèmes centraux de Salesloft. Pourtant, cette faille rappelle brutalement que les jetons OAuth, conçus pour simplifier la confiance numérique, peuvent devenir des passe-partout entre de mauvaises mains.

Des attaques similaires ont déjà frappé l’industrie - notamment la faille des jetons OAuth GitHub en 2022 qui a exposé des centaines de dépôts GitHub, et le ciblage persistant des intégrations cloud par des groupes comme Scattered Spider. À mesure que les plateformes cloud et les intégrations d’applications se multiplient, les portes à tester pour les attaquants se multiplient aussi.

Conclusion : la puissance discrète des clés numériques

À l’ère numérique, les clés les plus précieuses ne sont pas en métal - ce sont des lignes de code et des jetons, souvent cachés à la vue de tous. La faille Salesloft Drift montre comment des attaquants peuvent exploiter la confiance intégrée à nos logiciels interconnectés, se déplaçant discrètement d’une plateforme à l’autre. Tandis que les organisations s’empressent de colmater les brèches et de renouveler les clés, la leçon demeure : chaque intégration ouvre une porte, et chaque porte nécessite une vigilance constante.

WIKICROOK

• Jeton OAuth : Un jeton OAuth est une clé numérique permettant aux applications d’accéder à vos données en toute sécurité sans avoir besoin de votre mot de passe à chaque fois.
• GitHub : GitHub est une plateforme en ligne pour stocker, gérer et collaborer sur du code, largement utilisée par des particuliers et des entreprises pour des projets logiciels.
• Activité de reconnaissance : L’activité de reconnaissance est la phase initiale d’une cyberattaque où les attaquants collectent des informations sur une cible afin d’identifier des vulnérabilités.
• Rotation des identifiants : La rotation des identifiants consiste à changer régulièrement les mots de passe ou clés pour bloquer les attaquants et protéger les comptes, notamment après une faille de sécurité ou un changement de personnel.
• Acteur de menace : Un acteur de menace est toute personne, groupe ou entité responsable du lancement ou de la coordination d’une cyberattaque ou d’une activité malveillante dans le cyberespace.