{"id":156014,"date":"2025-09-02T13:42:09","date_gmt":"2025-09-02T20:42:09","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=156014"},"modified":"2025-09-05T14:08:45","modified_gmt":"2025-09-05T21:08:45","slug":"threat-brief-compromised-salesforce-instances","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/","title":{"rendered":"Briefing s\u00e9curit\u00e9\u00a0: compromission d\u2019instances Salesforce via l\u2019int\u00e9gration Salesloft Drift"},"content":{"rendered":"<h2><a id=\"post-156014-_heading=h.ur7y3dflsskw\"><\/a>Avant-propos<\/h2>\n<p>Unit\u00a042 a observ\u00e9 une activit\u00e9 correspondant \u00e0 une campagne sp\u00e9cifique men\u00e9e par des acteurs de la menace, utilisant l\u2019int\u00e9gration Salesloft\u00a0Drift pour compromettre les instances Salesforce des clients. Ce briefing fournit des informations sur nos observations et des conseils aux organisations potentiellement concern\u00e9es.<\/p>\n<p>Comme indiqu\u00e9 dans une <a href=\"https:\/\/trust.salesloft.com\/?uid=Drift%2FSalesforce+Security+Notification\" target=\"_blank\" rel=\"noopener\">notification r\u00e9cente de Salesloft<\/a> du 8 au 18\u00a0ao\u00fbt\u00a02025, un acteur malicieux a utilis\u00e9 des identifiants OAuth compromis pour exfiltrer des donn\u00e9es des environnements Salesforce des clients concern\u00e9s.<\/p>\n<p>Nos observations r\u00e9v\u00e8lent que l\u2019auteur de la menace a proc\u00e9d\u00e9 \u00e0 une exfiltration massive de donn\u00e9es sensibles issues de divers objets Salesforce, notamment les objets de type <span style=\"font-family: 'courier new', courier, monospace;\">Account, Contact, Case<\/span> et <span style=\"font-family: 'courier new', courier, monospace;\">Opportunity<\/span>. Apr\u00e8s l\u2019exfiltration, l\u2019acteur semble avoir entrepris une analyse des donn\u00e9es vol\u00e9es \u00e0 la recherche d\u2019identifiants, probablement dans le but de faciliter d\u2019autres attaques ou d\u2019\u00e9largir son acc\u00e8s. Nous avons constat\u00e9 que l\u2019acteur malicieux a supprim\u00e9 certaines requ\u00eates afin de dissimuler les traces des t\u00e2ches ex\u00e9cut\u00e9es, probablement dans une logique de contournement d\u2019outils forensiques.<\/p>\n<p>Salesloft a confirm\u00e9 que l\u2019ensemble des clients concern\u00e9s avaient \u00e9t\u00e9 inform\u00e9s et que des mesures imm\u00e9diates avaient \u00e9t\u00e9 prises pour s\u00e9curiser ses syst\u00e8mes, contenir et att\u00e9nuer l\u2019incident. Celles-ci incluent la r\u00e9vocation proactive de tous les jetons d\u2019acc\u00e8s et de rafra\u00eechissement actifs li\u00e9s \u00e0 l\u2019application Drift, imposant ainsi une nouvelle authentification pour les administrateurs concern\u00e9s.<\/p>\n<p>Palo\u00a0Alto\u00a0Networks recommande aux organisations de continuer \u00e0 surveiller les mises \u00e0 jour de Salesforce et de Salesloft, en plus de suivre les recommandations ci-dessous.<\/p>\n<p>L\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe de r\u00e9ponse \u00e0 incident de Unit\u00a042<\/a> peut \u00e9galement intervenir en cas de compromission ou r\u00e9aliser une \u00e9valuation proactive afin de r\u00e9duire votre niveau de risque.<\/p>\n<h2><a id=\"post-156014-_heading=h.hkko9yfg1rsj\"><\/a>Recommandations pour les organisations<\/h2>\n<p>Les organisations qui utilisent l\u2019int\u00e9gration Salesloft\u00a0Drift avec Salesforce doivent traiter cet incident avec la plus grande urgence. Au-del\u00e0 des mesures proactives prises par Salesloft pour s\u00e9curiser sa plateforme (comme la r\u00e9vocation des jetons), les recommandations suivantes sont essentielles pour \u00e9valuer l\u2019impact potentiel et r\u00e9duire tout risque suppl\u00e9mentaire\u00a0:<\/p>\n<p><strong>Enqu\u00eatez imm\u00e9diatement et examinez les journaux suivants\u00a0:<\/strong><\/p>\n<ul>\n<li><strong>Int\u00e9grations API Drift\u00a0: <\/strong>proc\u00e9dez \u00e0 un examen approfondi de toutes les int\u00e9grations Drift et examinez toutes les activit\u00e9s d\u2019authentification au sein des syst\u00e8mes tiers pour d\u00e9tecter les signes de connexions suspectes, de collecte d\u2019identifiants et d\u2019exfiltration de donn\u00e9es.<\/li>\n<li><strong>Journaux Salesforce\u00a0:<\/strong> effectuez un examen approfondi de l\u2019historique des connexions \u00e0 Salesforce, des pistes d\u2019audit et des journaux d\u2019acc\u00e8s \u00e0 l\u2019API pour la p\u00e9riode allant du 8\u00a0ao\u00fbt \u00e0 aujourd\u2019hui. Examinez en particulier les journaux de surveillance des \u00e9v\u00e9nements Salesforce, si ceux-ci sont activ\u00e9s, afin de d\u00e9tecter toute activit\u00e9 inhabituelle li\u00e9e \u00e0 l\u2019utilisateur de connexion Drift, et passer en revue l\u2019activit\u00e9 d\u2019authentification provenant de l\u2019application connect\u00e9e Drift. Recherchez les tentatives de connexion suspectes, les sch\u00e9mas d\u2019acc\u00e8s aux donn\u00e9es inhabituels et les indicateurs mentionn\u00e9s dans la section <a href=\"#post-156014-_heading=h.p40nmqzath5w\" target=\"_blank\" rel=\"noopener\">Conseils de <\/a>threat hunting, tels que la cha\u00eene d\u2019agent utilisateur <span style=\"font-family: 'courier new', courier, monospace;\">Python\/3.11 aiohttp\/3.12.15<\/span> et les activit\u00e9s provenant d\u2019adresses\u00a0IP associ\u00e9es \u00e0 des acteurs de la menace connus. Examinez \u00e9galement les \u00e9v\u00e9nements <span style=\"font-family: 'courier new', courier, monospace;\">UniqueQuery<\/span> qui enregistrent les requ\u00eates Salesforce Object Query Language (SOQL) ex\u00e9cut\u00e9es afin d\u2019identifier les objets Salesforce (par exemple, <span style=\"font-family: 'courier new', courier, monospace;\">Account, Contact, Opportunity, Case<\/span>, etc.) et les champs de ces objets que l\u2019attaquant a interrog\u00e9s. Envisagez d\u2019ouvrir un dossier de support Salesforce pour obtenir, si n\u00e9cessaire, les requ\u00eates sp\u00e9cifiques utilis\u00e9es par l\u2019acteur malicieux.<\/li>\n<li><strong>Journaux du fournisseur d\u2019identit\u00e9\u00a0:<\/strong> examinez les journaux de votre fournisseur d\u2019identit\u00e9 pour d\u00e9tecter toute tentative d\u2019authentification inhabituelle ou toute connexion r\u00e9ussie \u00e0 Salesforce ou \u00e0 d\u2019autres applications int\u00e9gr\u00e9es pendant la p\u00e9riode de l\u2019incident.<\/li>\n<li><strong>Journaux du r\u00e9seau\u00a0: <\/strong>analysez les journaux de flux r\u00e9seau et les journaux de proxy pour d\u00e9tecter les connexions \u00e0 Salesforce \u00e0 partir d\u2019adresses\u00a0IP suspectes ou de volumes de transfert de donn\u00e9es inhabituels.<\/li>\n<\/ul>\n<p><strong>Examinez les identifiants expos\u00e9s et proc\u00e9dez \u00e0 leur rotation\u00a0:<\/strong><\/p>\n<ul>\n<li><strong>Outils automatis\u00e9s\u00a0: <\/strong>utilisez des outils automatis\u00e9s (par exemple Trufflehog ou GitLeaks) pour scanner efficacement les secrets et les identifiants cod\u00e9s en dur dans les r\u00e9f\u00e9rentiels de codes, les fichiers de configuration ou toute donn\u00e9e susceptible d\u2019avoir \u00e9t\u00e9 exfiltr\u00e9e.<\/li>\n<li><strong>Examen des donn\u00e9es\u00a0:<\/strong> si l\u2019exfiltration est confirm\u00e9e ou suspect\u00e9e, examinez les donn\u00e9es pour d\u00e9tecter la pr\u00e9sence de identifiants sensibles. Cela inclut la recherche de mod\u00e8les tels que des identifiants de cl\u00e9s d\u2019acc\u00e8s AWS (par exemple, <span style=\"font-family: 'courier new', courier, monospace;\">AKIA<\/span>), des identifiants Snowflake (par exemple, <span style=\"font-family: 'courier new', courier, monospace;\">Snowflake<\/span> ou <span style=\"font-family: 'courier new', courier, monospace;\">snowflakecomputing[.]com<\/span>), des mots-cl\u00e9s g\u00e9n\u00e9riques comme mot de passe, secret ou cl\u00e9, et les cha\u00eenes li\u00e9es aux URL de connexion sp\u00e9cifiques \u00e0 l\u2019organisation (par exemple, les pages de connexion VPN ou SSO).<\/li>\n<li><strong>Rotation imm\u00e9diate\u00a0: <\/strong>proc\u00e9dez rapidement \u00e0 la rotation de tous les identifiants identifi\u00e9s comme \u00e9tant expos\u00e9s dans les donn\u00e9es exfiltr\u00e9es. Cela inclut, sans s\u2019y limiter, les cl\u00e9s API Salesforce, les identifiants des applications connect\u00e9es et tout autre mat\u00e9riel d\u2019authentification syst\u00e8me trouv\u00e9 dans les donn\u00e9es compromises.<\/li>\n<\/ul>\n<h2><a id=\"post-156014-_heading=h.p40nmqzath5w\"><\/a>Conseils de threat hunting<\/h2>\n<p>Les organisations pr\u00e9occup\u00e9es par une compromission potentielle li\u00e9e \u00e0 l\u2019incident Salesloft\u00a0Drift doivent imm\u00e9diatement lancer des activit\u00e9s proactives de chasse aux menaces dans leurs environnements Salesforce. (Pour commencer, Salesforce propose des ressources pour <a href=\"https:\/\/www.salesforce.com\/blog\/a-primer-on-forensic-investigation-of-salesforce-security-incidents\/\" target=\"_blank\" rel=\"noopener\">enqu\u00eater sur les incidents de s\u00e9curit\u00e9 Salesforce<\/a>.) La premi\u00e8re \u00e9tape cruciale consiste \u00e0 examiner minutieusement les journaux de connexion et d\u2019activit\u00e9 Salesforce afin d\u2019identifier des indicateurs de compromission (IoC) sp\u00e9cifiques associ\u00e9s \u00e0 l\u2019acteur malicieux.<\/p>\n<p>Les \u00e9quipes de s\u00e9curit\u00e9 doivent rechercher les connexions provenant d\u2019adresses\u00a0IP suspectes, y compris, mais sans s\u2019y limiter, les adresses\u00a0IP d\u2019acteurs malicieux connus (pour plus d\u2019informations et de conseils, voir la section \u00ab\u00a0Indicateurs de compromission\u00a0\u00bb du pr\u00e9sent briefing).<\/p>\n<p>La pr\u00e9sence de la cha\u00eene d\u2019agent utilisateur <span style=\"font-family: 'courier new', courier, monospace;\">Python\/3.11 aiohttp\/3.12.15<\/span> associ\u00e9e \u00e0 ces \u00e9v\u00e9nements de connexion est particuli\u00e8rement int\u00e9ressante. Bien que cette cha\u00eene sp\u00e9cifique soit un agent utilisateur valide qui n\u2019est pas intrins\u00e8quement malveillant, elle est \u00e9galement r\u00e9v\u00e9latrice de l\u2019exfiltration de donn\u00e9es automatis\u00e9e et en grand volume observ\u00e9e dans cette campagne.<\/p>\n<p>La pr\u00e9sence de cette cha\u00eene est importante car les acteurs de la menace peuvent exploiter des biblioth\u00e8ques Python asynchrones comme <span style=\"font-family: 'courier new', courier, monospace;\">aiohttp<\/span>, en combinaison avec l\u2019API Bulk de Salesforce, pour r\u00e9aliser une exfiltration de donn\u00e9es rapide et \u00e0 haut d\u00e9bit. Cette association leur permet d\u2019extraire efficacement d\u2019importants volumes de donn\u00e9es \u00e0 partir d\u2019objets Salesforce comme <span style=\"font-family: 'courier new', courier, monospace;\">Account, Contact, Case<\/span> et <span style=\"font-family: 'courier new', courier, monospace;\">Opportunity<\/span>, tout en r\u00e9duisant au minimum leur temps d\u2019exposition.<\/p>\n<h2><a id=\"post-156014-_heading=h.l0knc9tey93u\"><\/a>Conclusion<\/h2>\n<p>Palo\u00a0Alto\u00a0Networks recommande vivement de proc\u00e9der \u00e0 la rotation des identifiants et de suivre les recommandations ci-dessus pour v\u00e9rifier l\u2019activit\u00e9 d\u2019authentification des int\u00e9grations\u00a0Drift. La vigilance et la v\u00e9rification sont essentielles.<\/p>\n<p>Les organisations doivent se m\u00e9fier des tentatives d\u2019ing\u00e9nierie sociale r\u00e9sultant de cet \u00e9v\u00e9nement ou de tout autre \u00e9v\u00e9nement d\u2019exfiltration de donn\u00e9es.<\/p>\n<p>Les meilleures pratiques sont les suivantes\u00a0:<\/p>\n<ul>\n<li><strong>Soyez sceptique \u00e0 l\u2019\u00e9gard des communications non sollicit\u00e9es\u00a0:<\/strong> conseillez \u00e0 vos \u00e9quipes d\u2019examiner attentivement tout e-mail, appel ou message non sollicit\u00e9 ou inhabituel, m\u00eame s\u2019il semble provenir d\u2019une source fiable.<\/li>\n<li><strong>V\u00e9rifiez les demandes\u00a0: <\/strong>Avant d\u2019agir, v\u00e9rifiez toujours les demandes de donn\u00e9es sensibles ou d\u2019identifiants par le biais d\u2019un canal de communication distinct et officiel. Par exemple, si vous recevez un e-mail suspect d\u2019un coll\u00e8gue, appelez-le directement pour confirmer que la demande est l\u00e9gitime. N\u2019\u00e9changez des informations et des fichiers que par l\u2019interm\u00e9diaire de notre portail de support client, et non par e-mail.<\/li>\n<li><strong>Mettez en \u0153uvre l\u2019approche Zero\u00a0Trust\u00a0:<\/strong> Appliquer une approche Zero\u00a0Trust, en combinant des politiques d\u2019acc\u00e8s conditionnel et le principe du moindre privil\u00e8ge, permet de r\u00e9duire consid\u00e9rablement la capacit\u00e9 d\u2019un attaquant \u00e0 se d\u00e9placer lat\u00e9ralement dans votre r\u00e9seau, m\u00eame s\u2019il r\u00e9ussit \u00e0 tromper un employ\u00e9.<\/li>\n<\/ul>\n<p>Pour plus d\u2019informations sur l\u2019ing\u00e9nierie sociale et les moyens de l\u2019att\u00e9nuer, veuillez consulter notre r\u00e9cent <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/\" target=\"_blank\" rel=\"noopener\">Rapport mondial\u00a02025 sur la r\u00e9ponse \u00e0 incident de Unit\u00a042\u00a0: \u00e9dition sp\u00e9ciale sur l\u2019ing\u00e9nierie sociale<\/a>.<\/p>\n<p>Palo\u00a0Alto\u00a0Networks et Unit\u00a042 continueront \u00e0 surveiller la situation afin d\u2019obtenir des informations actualis\u00e9es, et mettront \u00e0 jour ce rapport sur les menaces d\u00e8s que de nouvelles donn\u00e9es seront disponibles.<\/p>\n<p>Salesforce fournira des mises \u00e0 jour et <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/\" target=\"_blank\" rel=\"noopener\">des mises \u00e0 jour et des ressources aux clients<\/a>.<\/p>\n<p>Vous pensez que votre entreprise a \u00e9t\u00e9 compromise\u00a0? Vous devez faire face \u00e0 une urgence\u00a0? Contactez <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/\" target=\"_blank\" rel=\"noopener\">l\u2019\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 00080005045107<\/li>\n<\/ul>\n<h2><a id=\"post-156014-_heading=h.qvkemryh3qkx\"><\/a>Indicateurs de compromission<\/h2>\n<p>Salesloft a mis \u00e0 disposition quelques <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/\" target=\"_blank\" rel=\"noopener\">indicateurs de compromission<\/a> pour faciliter les activit\u00e9s de chasse aux menaces. Il convient de noter que de nombreuses adresses\u00a0IP r\u00e9pertori\u00e9es dans la notification correspondent \u00e0 des n\u0153uds de sortie Tor et peuvent donc g\u00e9n\u00e9rer un taux \u00e9lev\u00e9 de faux positifs pour les organisations autorisant les connexions\u00a0depuis Tor.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ce briefing s\u00e9curit\u00e9 pr\u00e9sente des observations relatives \u00e0 une campagne utilisant l\u2019int\u00e9gration de Salesloft\u00a0Drift afin d\u2019exfiltrer des donn\u00e9es via des identifiants OAuth compromis.<\/p>\n","protected":false},"author":23,"featured_media":155476,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8769,8850],"tags":[9507,9508,9509,9510],"product_categories":[9151],"coauthors":[1025],"class_list":["post-156014","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-top-cyberthreats-fr","category-vulnerabilities-fr","tag-credential-based-attacks-fr","tag-data-exfiltration-fr","tag-salesforce-fr","tag-salesloft-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Briefing s\u00e9curit\u00e9\u00a0: compromission d\u2019instances Salesforce via l\u2019int\u00e9gration Salesloft Drift<\/title>\n<meta name=\"description\" content=\"Ce briefing s\u00e9curit\u00e9 pr\u00e9sente des observations relatives \u00e0 une campagne utilisant l\u2019int\u00e9gration de Salesloft\u00a0Drift afin d\u2019exfiltrer des donn\u00e9es via des identifiants OAuth compromis.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Briefing s\u00e9curit\u00e9\u00a0: compromission d\u2019instances Salesforce via l\u2019int\u00e9gration Salesloft Drift\" \/>\n<meta property=\"og:description\" content=\"Ce briefing s\u00e9curit\u00e9 pr\u00e9sente des observations relatives \u00e0 une campagne utilisant l\u2019int\u00e9gration de Salesloft\u00a0Drift afin d\u2019exfiltrer des donn\u00e9es via des identifiants OAuth compromis.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-09-02T20:42:09+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-09-05T21:08:45+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/7_Category_1616x600.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1616\" \/>\n\t<meta property=\"og:image:height\" content=\"600\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Briefing s\u00e9curit\u00e9\u00a0: compromission d\u2019instances Salesforce via l\u2019int\u00e9gration Salesloft Drift","description":"Ce briefing s\u00e9curit\u00e9 pr\u00e9sente des observations relatives \u00e0 une campagne utilisant l\u2019int\u00e9gration de Salesloft\u00a0Drift afin d\u2019exfiltrer des donn\u00e9es via des identifiants OAuth compromis.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/","og_locale":"fr_FR","og_type":"article","og_title":"Briefing s\u00e9curit\u00e9\u00a0: compromission d\u2019instances Salesforce via l\u2019int\u00e9gration Salesloft Drift","og_description":"Ce briefing s\u00e9curit\u00e9 pr\u00e9sente des observations relatives \u00e0 une campagne utilisant l\u2019int\u00e9gration de Salesloft\u00a0Drift afin d\u2019exfiltrer des donn\u00e9es via des identifiants OAuth compromis.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/","og_site_name":"Unit 42","article_published_time":"2025-09-02T20:42:09+00:00","article_modified_time":"2025-09-05T21:08:45+00:00","og_image":[{"width":1616,"height":600,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/7_Category_1616x600.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"Briefing s\u00e9curit\u00e9\u00a0: compromission d\u2019instances Salesforce via l\u2019int\u00e9gration Salesloft Drift","datePublished":"2025-09-02T20:42:09+00:00","dateModified":"2025-09-05T21:08:45+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/"},"wordCount":1616,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/7_Category_1616x600.jpg","keywords":["credential-based attacks","data exfiltration","Salesforce","Salesloft"],"articleSection":["Menaces de grande envergure","Vuln\u00e9rabilit\u00e9s"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/","name":"Briefing s\u00e9curit\u00e9\u00a0: compromission d\u2019instances Salesforce via l\u2019int\u00e9gration Salesloft Drift","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/7_Category_1616x600.jpg","datePublished":"2025-09-02T20:42:09+00:00","dateModified":"2025-09-05T21:08:45+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"Ce briefing s\u00e9curit\u00e9 pr\u00e9sente des observations relatives \u00e0 une campagne utilisant l\u2019int\u00e9gration de Salesloft\u00a0Drift afin d\u2019exfiltrer des donn\u00e9es via des identifiants OAuth compromis.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/7_Category_1616x600.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/7_Category_1616x600.jpg","width":1616,"height":600,"caption":"Pictorial representation of Salesforce compromised by attackers. Colorful abstract digital artwork featuring a gradient of red to blue hues with a raised, spike-like texture pattern resembling a city skyline."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-brief-compromised-salesforce-instances\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Briefing s\u00e9curit\u00e9\u00a0: compromission d\u2019instances Salesforce via l\u2019int\u00e9gration Salesloft Drift"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/9213e49ea48b7676660bac40d05c9e3e","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Unit 42"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/156014","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=156014"}],"version-history":[{"count":1,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/156014\/revisions"}],"predecessor-version":[{"id":156015,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/156014\/revisions\/156015"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/155476"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=156014"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=156014"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=156014"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=156014"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=156014"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}