L’anatomie d’une cascade dans la chaîne d’approvisionnement SaaS
La brèche n’a pas commencé par un exploit zero-day ni par une attaque par force brute sur un pare-feu d’entreprise. Elle a commencé par l’accès à un dépôt GitHub.
En mars 2025, un cluster de menaces suivi par Mandiant sous la désignation UNC6395 a obtenu l’accès à l’organisation GitHub privée de Salesloft. Au cours des quatre mois suivants, les attaquants ont téléchargé des dépôts de code, ajouté un utilisateur invité et établi des workflows persistants pour maintenir leur accès. Leur cible n’était pas le code source lui-même, mais ce qui y était intégré : des jetons OAuth pour Drift, la plateforme de marketing conversationnel que Salesloft avait acquise et profondément intégrée à Salesforce.
En utilisant TruffleHog, un outil open source de détection de secrets conçu pour les équipes de sécurité défensive, les attaquants ont scanné les dépôts volés et extrait des jetons OAuth Drift connectés à des centaines d’instances Salesforce de clients. Entre le 8 et le 18 août 2025, UNC6395 a utilisé ces jetons pour interroger et exporter systématiquement les données de plus de 700 environnements Salesforce. Lorsque Salesforce et Salesloft ont désactivé toutes les intégrations Drift le 20 août, le mal était fait.
Le groupe, qui s’est identifié comme ShinyHunters lors des communications d’extorsion, affirme avoir volé environ 1,5 milliard d’enregistrements Salesforce auprès de 760 entreprises : 579 millions de fiches Contact, 459 millions de Cases, 250 millions de Comptes, 171 millions d’Opportunities et 60 millions d’enregistrements User. Parmi les victimes figuraient Cloudflare, Google, PagerDuty, Palo Alto Networks, Proofpoint, SpyCloud, Tanium et Zscaler.
Mais les données Salesforce n’étaient que la première vague. Les enregistrements Case volés contenaient des credentials en clair, des clés AWS, des jetons d’accès VPN et des credentials Snowflake enfouis dans des tickets de support et des communications internes. ShinyHunters a de nouveau utilisé TruffleHog pour exploiter ces données à la recherche de chemins d’attaque supplémentaires, transformant une seule brèche en une cascade de credentials qui s’est propagée dans les environnements cloud tout au long du début 2026.
ShinyHunters : des vendeurs de forums aux extorqueurs industriels
ShinyHunters est apparu vers 2019 en tant que groupe de vol de données financièrement motivé, vendant des bases de données volées sur des forums clandestins pour 500 à 5 000 dollars pièce. Parmi les premières cibles figuraient Tokopedia (91 millions de comptes, 2020), Wattpad (270 millions d’enregistrements, 2020) et des dizaines d’applications web mal configurées.
Le modèle opérationnel du groupe a radicalement changé avec la campagne Snowflake de 2024. Suivie par Mandiant sous la désignation UNC5537, cette opération a utilisé des credentials récoltés par des malwares de type infostealer pour accéder aux entrepôts de données Snowflake d’AT&T, Ticketmaster, Santander et de plus de 160 autres organisations. AT&T a révélé que les relevés d’appels et de SMS de la quasi-totalité de ses clients mobiles, soit environ 110 millions de personnes, avaient été consultés. La campagne Snowflake a prouvé que cibler les points d’accès au niveau des plateformes produisait exponentiellement plus de données que de pirater des entreprises individuellement.
La campagne Salesloft/Drift de 2025 a perfectionné ce modèle. Plutôt que d’exploiter des credentials d’employés volés un par un, les attaquants ont compromis l’infrastructure même de la plateforme et extrait des jetons d’intégration offrant un accès simultané à des centaines d’environnements en aval. Ils ont ensuite industrialisé l’exploitation à l’aide d’outils de scan automatisés, passant du vol de données artisanal à l’exfiltration à l’échelle industrielle.
Les forces de l’ordre ont poursuivi ShinyHunters dans plusieurs juridictions. Sebastien Raoult, un membre français, a été arrêté au Maroc en 2022, extradé vers les États-Unis et condamné à trois ans de prison avec 5 millions de dollars de restitution. Alexander Moucka, un ressortissant canadien lié à la campagne Snowflake, a été arrêté fin 2024. Quatre membres supplémentaires ont été arrêtés en France en juin 2025. Malgré ces arrestations, le groupe s’est reconstitué et a poursuivi ses opérations, avec des chevauchements notés entre ShinyHunters, Scattered Spider et Lapsus$ au sein d’un collectif opérant via des canaux Telegram partagés.
Publicité
Les dégâts en cascade
La cascade de credentials issue de la brèche Salesloft/Drift a généré une série de compromissions en aval qui se sont prolongées jusqu’en 2026.
TELUS Digital a subi l’impact le plus sévère. ShinyHunters a découvert des credentials Google Cloud Platform pour TELUS Digital, le plus grand fournisseur BPO du Canada, intégrés dans les données Drift/Salesforce volées. Ces credentials ont déverrouillé l’accès aux instances BigQuery de TELUS et à de nombreux systèmes cloud. Les attaquants affirment avoir exfiltré près d’un pétaoctet de données, incluant des enregistrements d’appels, du code source, des résultats de vérification d’antécédents FBI pour les employés, des données d’entraînement IA, des enregistrements vocaux et des détails de systèmes de détection de fraude couvrant environ 28 entreprises clientes. ShinyHunters a exigé 65 millions de dollars de rançon. TELUS Digital a confirmé la brèche le 12 mars 2026, et des sources ont indiqué que l’entreprise a refusé de négocier avec les extorqueurs.
Aura, une entreprise de protection d’identité, a été compromise via un vecteur complémentaire. Tandis que les données Salesloft/Drift fournissaient des informations de reconnaissance, la compromission effective est venue par le vishing : les attaquants ont appelé des employés d’Aura, se sont fait passer pour des interlocuteurs de confiance et les ont convaincus de communiquer leurs credentials. Les attaquants ont ensuite exploité une vulnérabilité du SSO Okta pour accéder à une base de données marketing issue d’une acquisition de 2021, exposant 903 100 enregistrements comprenant des adresses IP, des numéros de téléphone, des adresses postales et des commentaires du service client. Aura a divulgué la brèche le 18 mars 2026, précisant que l’accès non autorisé avait duré environ une heure avant révocation.
CarGurus, la place de marché automobile, a été piratée le 13 février 2026 via des attaques de vishing ciblant les employés pour obtenir des codes d’authentification unique. La brèche a exposé 12,4 millions d’enregistrements contenant des noms, adresses et données financières, déclenchant de multiples poursuites judiciaires. Crunchyroll a vu environ 2 millions d’enregistrements fuités, Betterment a perdu environ 1,4 million d’enregistrements utilisateurs, et Match Group a subi la compromission de 10 millions d’enregistrements à travers Hinge, Match.com et OkCupid.
Pourquoi les credentials d’intégration SaaS sont la nouvelle surface d’attaque
La cascade Salesloft/Drift expose une vulnérabilité structurelle dans le fonctionnement de l’écosystème SaaS moderne. Les grandes entreprises utilisent en moyenne plus de 130 applications SaaS, et chaque application se connecte aux autres via des jetons OAuth, des clés API et des credentials de comptes de service stockés dans de multiples environnements.
Trois dynamiques rendent cette architecture particulièrement fragile. Premièrement, l’intégration est encouragée et normalisée. Les plateformes SaaS rivalisent sur leur capacité à se connecter à d’autres outils, créant des réseaux denses de dépendances de credentials qu’aucune équipe ne cartographie entièrement. Deuxièmement, les credentials sont sur-permissionnés. Les guides d’intégration demandent couramment d’accorder un accès API large pour la compatibilité, même quand un accès en lecture seule suffirait. Les jetons OAuth Drift ayant permis cette brèche disposaient de permissions de lecture sur les Contacts, Comptes, Cases, Opportunities et Users des instances Salesforce connectées. Troisièmement, les credentials sont rarement renouvelés. De nombreuses organisations configurent les intégrations une fois et n’y reviennent jamais, laissant des jetons valides pendant des années, même après le départ des employés qui les ont créés.
L’utilisation de TruffleHog dans cette campagne illustre la réalité du double usage en outillage de sécurité. TruffleHog a été conçu par Truffle Security pour aider les défenseurs à trouver des secrets exposés dans les dépôts de code et les magasins de données. Il intègre des détecteurs de patterns pour des centaines de types de credentials. ShinyHunters a détourné cet outil défensif à des fins offensives, scannant d’abord les dépôts GitHub pour trouver des jetons OAuth, puis exploitant les données Case Salesforce volées pour découvrir des credentials supplémentaires. Les capacités de détection exhaustives de l’outil l’ont rendu trivialement efficace dans les deux contextes.
Priorités défensives après la cascade
Les organisations ayant utilisé Salesloft ou Drift devraient considérer tous les credentials connectés comme compromis, les renouveler immédiatement et auditer les journaux d’accès pour détecter toute activité API anormale entre août 2025 et mars 2026.
Pour la posture de sécurité globale, cette campagne impose cinq changements structurels. Inventorier tous les credentials tiers : utilisez des outils SSPM comme Nudge Security, Valence Security ou AppOmni pour cartographier chaque jeton OAuth, clé API et compte de service stockés dans les plateformes SaaS. Appliquer le principe du moindre privilège : n’accordez jamais un accès API administrateur quand des permissions en lecture seule suffisent, et révisez les permissions d’intégration existantes par rapport à l’utilisation réelle. Automatiser le renouvellement des credentials : tout credential ne pouvant être renouvelé automatiquement devrait être signalé pour un renouvellement manuel périodique, au minimum annuel. Exiger l’authentification MFA matérielle pour les accès administratifs : les clés de sécurité FIDO2 résistent aux vecteurs de phishing et d’infostealer qui ont permis la compromission initiale de GitHub. Surveiller les patterns d’abus API : détectez les volumes d’export de données anormaux, les accès depuis des emplacements inattendus et les appels API en dehors des heures de bureau, car des credentials valides contourneront les contrôles d’accès traditionnels.
L’économie SaaS a été construite sur la promesse que des outils interconnectés rendent les entreprises plus productives. ShinyHunters a prouvé que ces mêmes interconnexions, sécurisées par des jetons codés en dur avec des permissions excessives et sans renouvellement, peuvent rendre les entreprises catastrophiquement vulnérables à l’échelle industrielle.
Questions Fréquemment Posées
Comment ShinyHunters a-t-il compromis 760 entreprises à partir d’un seul point d’accès ?
Les attaquants ont compromis le dépôt GitHub privé de Salesloft en mars 2025 et ont utilisé TruffleHog pour extraire des jetons OAuth Drift codés en dur dans le code source. Ces jetons fournissaient un accès direct aux instances Salesforce de plus de 760 entreprises ayant intégré Drift pour l’engagement client. Les données Case Salesforce volées contenaient ensuite des credentials supplémentaires (clés AWS, jetons VPN) permettant des compromissions en cascade comme celle de TELUS Digital.
Quelle est la différence entre UNC6395, UNC6040 et ShinyHunters ?
UNC6395 est la désignation de Mandiant pour le cluster de menaces derrière l’intrusion dans la chaîne d’approvisionnement Salesloft/Drift. UNC6040 est le cluster Mandiant distinct qui s’identifie systématiquement comme ShinyHunters lors des communications d’extorsion et est connu pour ses attaques de vishing ciblant les clients Salesforce. Bien que les groupes partagent des tactiques et des infrastructures, Google ne les a pas formellement fusionnés. La campagne Snowflake de 2024 était suivie sous une autre désignation, UNC5537.
Que devraient faire les organisations dès maintenant pour se protéger contre les cascades de credentials SaaS ?
Commencez par inventorier tous les jetons OAuth et clés API stockés dans les plateformes SaaS tierces à l’aide d’outils comme Nudge Security ou AppOmni. Renouvelez immédiatement tout credential connecté à Salesloft ou Drift. Appliquez les scopes de moindre privilège sur toutes les intégrations, exigez des clés matérielles FIDO2 pour les accès administratifs et mettez en place une surveillance des patterns anormaux d’export de données API. Ces cinq mesures répondent aux vecteurs d’attaque spécifiques exploités par ShinyHunters.
Sources et lectures complémentaires
- ShinyHunters Claims 1.5 Billion Salesforce Records Stolen in Drift Hacks — BleepingComputer
- Widespread Data Theft Targets Salesforce Instances via Salesloft Drift — Google Cloud Blog
- Salesloft Drift Breach Traced to GitHub Compromise and Stolen OAuth Tokens — HackRead
- Salesloft Drift Security Incident Started With Undetected GitHub Access — CyberScoop
- Telus Digital Confirms Breach After Hacker Claims 1 Petabyte Data Theft — BleepingComputer
- Identity Protection Firm Aura Suffers Data Breach Exposing 900,000 Records — Help Net Security
- Salesloft Drift Attack: One Compromised Integration Shakes 700+ Companies — CM-Alliance
- ShinyHunters and UNC6395: Inside the Salesforce and Salesloft Breaches — Mitiga
🔗 Intelligence Connexe
Sécuriser la Chaîne d’Approvisionnement Logicielle : Sigstore
La surface d’attaque en expansion : comment la prolifération SaaS et le Shadow IT créent
Sécurité Open Source : Attaques de la chaîne d’approvisionnement et la crise de sécurité
La mega-fuite Odido : quand un géant des télécoms refuse de payer et que des millions de
