Quand un seul jeton OAuth ouvre la porte à tout un écosystème SaaS, la sécurité bascule d’un problème localisé à une menace systémique. Derrière la cyber attaque Drift-Salesforce d’Août dernier se cache un avertissement : les intégrations SaaS sont devenues le maillon faible des entreprises connectées.
Un cauchemar pour la sécurité des SaaS s’est récemment réalisé pour les responsables IT du monde entier. Selon Google Threat Intelligence Group, des attaquants ont exploité des jetons OAuth légitimes issus de l’intégration à Salesforce du chatbot Drift de Salesloft pour exfiltrer discrètement des données clients de la célèbre plateforme CRM.
Cette attaque sophistiquée révèle un angle mort critique dont la plupart des équipes de sécurité ignorent l’existence.
Quand les intégrations SaaS deviennent des vecteurs d’attaque
Entre le 8 et le 18 août 2025, l’attaquant baptisé UNC6395 par Google a ciblé la connexion OAuth entre Drift et Salesforce, une intégration sur laquelle des milliers d’équipes commerciales s’appuient quotidiennement pour synchroniser leurs conversations marketing et leurs données de leads.
L’attaquant a compris un fait essentiel des entreprises modernes : de nombreux composants fonctionnent sur des intégrations SaaS, et pas seulement des applications individuelles.
Les jetons OAuth agissent comme des clés numériques entre les applications SaaS. Une fois compromis, ils offrent un accès continu sans déclencher les alertes d’authentification utilisateur classiques.
Le problème de cette attaque résidait dans l’utilisation d’outils légitimes. Aucun schéma de connexion inhabituel, aucun téléchargement de fichiers suspects, uniquement des appels API normaux qui utilisent des jetons d’intégration valides.
Salesloft et Salesforce ont désormais révoqué tous les jetons d’accès et d’actualisation actifs avec l’application Drift, et Salesforce a retiré l’application Drift d’AppExchange en attendant les résultats de l’enquête.
Le risque caché des intégrations SaaS à SaaS
Les outils classiques de sécurité SaaS excellent dans la surveillance des schémas d’accès des utilisateurs, ou dans la détection des emplacements de connexion inhabituels. Cependant, ils passent souvent à côté de la tendance du moment, dans laquelle les données critiques pour l’entreprise circulent constamment entre les applications SaaS.
Imaginez une configuration d’équipe commerciale classique : Drift communique avec Salesforce. Salesforce se connecte ensuite à HubSpot, ce dernier s’intègre à Slack, qui à son tour se synchronise avec Google Workspace. Chaque connexion de cette chaîne utilise généralement des jetons OAuth qui autorisent une application à agir au nom d’une autre.
Ces points d’intégration créent une vulnérabilité potentielle : un seul jeton compromis peut donner un accès au-delà de sa portée initiale. Un attaquant qui compromet une intégration d’automatisation marketing pourrait donc soudainement accéder aux dossiers clients, aux données financières ou aux communications internes.
La plupart des outils de sécurité SaaS se concentrent sur les connexions utilisateur-SaaS. Par exemple, ils sont très efficaces pour détecter le fait qu’un directeur financier se connecte à partir d’un emplacement inhabituel, ou lorsque quelqu’un essaie de télécharger un fichier qu’il ne devrait pas. Cependant, ils peuvent passer complètement à d’un jeton d’intégration compromis qui commence à exporter les bases de données clients.
Détection d’intégration
C’est ici que l’attaque Drift-Salesforce devient un cas d’école parfait pour illustrer ce que devrait être la sécurité SaaS moderne.
Surveillance de l’intégration en temps réel : en cartographiant et surveillant les connexions de SaaS à SaaS, grâce à l’intégration d’API pour identifier l’ensemble des applications, services et jetons, et signalez les volumes d’exportation de données inhabituels, même si les appels d’API eux-mêmes semblaient légitimes.
Analyse comportementale des jetons OAuth : Établir des références pour le comportement habituel de chaque intégration, puis prendre des mesures sous forme d’alertes ou de confinement automatisé lorsque le comportement s’écarte de ces références.
Visibilité des mouvements de données : Suivre les mouvements importants de données pour une meilleure visibilité et détecter rapidement les tentatives d’exfiltration.
Au-delà de la détection : Une stratégie complète de sécurité SaaS
L’incident Drift-Salesforce illustre la nécessité pour les entreprises de repenser leur approche de la sécurité SaaS. Sécuriser les applications individuelles ne suffit pas ; il faut une visibilité et un contrôle sur l’ensemble de l’écosystème SaaS.
Des solutions de sécurité telles que Check Point SASE, aborde justement trois domaines essentiels :
Exploration complète : Détecte automatiquement toutes les applications SaaS, le shadow IT et les points d’intégration de l’entreprise. Avant de sécuriser l’environnement SaaS, il est important de bien connaître son contenu.
Évaluation des risques de sécurité liés à l’intégration : Toutes les connexions SaaS ne présentent pas le même risque. Il importe que la solution hiérarchise les menaces en fonction de la sensibilité des données, de l’étendue des accès et des comportements. Votre intégration Salesforce-finance est surveillée différemment de votre connexion Slack-agenda.
Automatisation de la conformité : Face aux réglementations sur la confidentialité des données, comme le RGPD, qui imposent aux organisations de suivre les flux de données, Check Point SaaS Security offre une gestion automatisée de la conformité. Cela inclut des fonctionnalités de gestion de la posture de sécurité SaaS (SSPM) qui évaluent en permanence les configurations SaaS par rapport aux bonnes pratiques de sécurité et aux cadres de conformité.
Les organisations qui souhaitent prévenir de tels incidents doivent commencer à considérer la sécurité SaaS comme un défi pour l’écosystème, et non comme un simple problème application par application.
Avec l’adoption accélérée du SaaS et la complexité croissante de l’intégration, ce type d’attaques deviendra plus fréquent.
____________________________
Par Adrien Merveille, expert en cybersécurité chez Check Point
puis