Les équipes de sécurité des grandes entreprises réalisent de manière courante des vérifications préalables importantes sur leurs fournisseurs de logiciels. Ils s'intéressent généralement au respect des principes de sécurité par conception, à la conformité aux réglementations sur la confidentialité des données, et même à des facteurs tels que la vérification des antécédents des ingénieurs qui codent l'application, entre autres.
Comme dans les chaînes d'approvisionnement physiques, ce n'est souvent pas le fournisseur principal qui pose problème, mais plutôt les fournisseurs d'un fournisseur. Cela semble être ce qui s'est passé lors de la violation de données affectant Salesforce à travers son intégration avec Drift, l'agent de chat IA de Salesloft.
Violation de la plateforme et extraction de données
De début à mi-août 2025, des pirates s'en s'ont pris à la plateforme de Salesloft pour dérober des jetons OAuth et d'actualisation via l'intégration de Drift avec Salesforce. Les pirates ont ensuite utilisé ces jetons pour accéder aux instances client Salesforce et extraire des données telles que les contacts et les informations des dossiers de support.
Voici quelques exemples de données volées :
- Noms
- Adresses e-mail professionnelles
- Numéros de téléphone professionnels
- Intitulés de poste
- Informations sur la région/localisation
- Contenu de certains dossiers de support
La violation initiale est à présent à l'origine d'une vague de violations pour les clients Salesforce. Il s'avère que les pirates utilisent les données extraites pour déterminer les identifiants permettant d'accéder à d'autres systèmes afin de pouvoir infiltrer davantage les entreprises.
Aucune plateforme Akamai n'a été impliquée
Akamai a également passé cet incident en revue pour déterminer si les pirates avaient pu utiliser à mauvais escient les jetons OAuth pour accéder à son instance Salesforce. Nous avons constaté que seul un ensemble limité de données des tickets du support technique avait été exposé.
Cette exposition limitée d'Akamai s'explique par la suppression automatique des données personnelles et autres données sensibles dans les tickets de support 120 jours après la clôture du ticket, dans le cadre de la confidentialité et la sécurité par conception appliquées par Akamai. En outre, nous n'avons pas trouvé de signes d'utilisation abusive potentielle de ces données. Nous avons informé les clients concernés de l'incident.
Cet événement n'est pas allé au-delà de Salesforce. Aucune plateforme, aucun système réseau ou service de production Akamai n'a été impliqué. Aucunes données de trafic client traitées sur les plateformes Akamai n'ont été affectées. L'intégration impactée était utilisée uniquement dans Salesforce et a depuis été supprimée.
Meilleures pratiques à envisager
Lorsque vous essayez de protéger votre entreprise contre les risques liés à la chaîne d'approvisionnement de logiciels tels que celui-ci, il est primordial d'appliquer une approche multicouche pour neutraliser les attaques potentielles et contenir rapidement celles qui surviennent. Il est également essentiel de comprendre la stratégie de sécurité de l'entreprise pour trouver les lacunes et les moyens potentiels par lesquels un risque dans la chaîne d'approvisionnement pourrait échapper aux protections existantes.
Pour vous aider à combler les lacunes éventuelles, envisagez les couches de protection suivantes pour les API et les applications AI/LLM (comme le chatbot Drift) :
- Microsegmentation
- Pare-feu d'application Web
- Sécurité des API
- Protection côté client
- Gestion des bots
- Protection contre le piratage de compte
Microsegmentation
La microsegmentation doit être une priorité dans tout modèle de sécurité multicouche, car elle réduit directement l'impact des violations de la chaîne d'approvisionnement et des API. En isolant les applications, les charges de travail et les intégrations telles que les chatbots IA dans des zones étroitement contrôlées, elle limite les mouvements des pirates et réduit le rayon d'attaque d'un incident.
Cela signifie que même si des jetons volés ou des API vulnérables sont exploités, la violation est contenue, les systèmes critiques restent protégés et les équipes d'intervention bénéficient d'une visibilité claire pour identifier la menace et agir plus rapidement. Elle transforme une crise potentielle à l'échelle de l'entreprise en un événement contrôlé et gérable en protégeant les opérations, en réduisant les temps d'arrêt et en renforçant le Zero Trust là où cela compte le plus.
Pare-feu d'application Web
Un pare-feu d'application Web (WAF) fournit la base de sécurité nécessaire pour se défendre contre les menaces actuelles. Une technologie WAF puissante met à jour et ajuste en permanence les protections pour détecter les anomalies dans les schémas de trafic et aider à identifier les comportements ne correspondant pas à l'utilisation normale des applications.
Un WAF capable d'évaluer la fiabilité des sources de requêtes permet aux entreprises de bloquer le trafic provenant d'adresses IP malveillantes ou suspectes connues. La journalisation et la visibilité complètes fournissent aux équipes de sécurité le contexte dont elles ont besoin pour enquêter sur les incidents et coordonner la mise en place de protections supplémentaires.
Sécurité des API
Des protections spécifiques aux API auraient pu aider les entreprises à détecter cette attaque en identifiant le comportement anormal présenté par les jetons OAuth compromis. Même si l'attaquant utilisait des identifiants valides, ses modèles d'activité, tels que l'exécution de requêtes en masse sur les API Salesforce, l'accès aux données à partir d'adresses IP inhabituelles et la tentative de suppression de tâches pour couvrir ses traces, auraient dévié d'une utilisation normale.
L'analyse comportementale et la surveillance continue d'Akamai sont conçues pour signaler ces types d'irrégularités en temps réel, ce qui permet aux équipes de sécurité d'enquêter rapidement et de réagir avant que de grands volumes de données sensibles ne puissent être exfiltrés.
Protection côté client
Lorsque les applications utilisent des scripts ou des agents pour transmettre des informations dans le navigateur, il est essentiel de pouvoir détecter les modifications dans les scripts. Le script demande-t-il des informations inhabituelles ? Un inventaire de tous les scripts et un moyen de signaler les modifications de script peuvent empêcher ce type d'attaques.
Gestion des bots
Une détection et une gestion des bots efficaces sont importantes, car les bots IA/LLM ne sont que ça : des bots. C'est particulièrement important pour les bots connus tels que le chatbot Drift. La solution de gestion des bots peut utiliser leur signature et d'autres caractéristiques les définissant pour déterminer si un bot est légitime ou un usurpateur, et s'il présente des comportements à risque par rapport à son comportement de base.
Protection contre le piratage de compte
Bien que dans ce cas il s'agisse d'identité non humaine (l'identité du bot Drift), les solutions de protection contre le piratage de compte sont conçues pour détecter quand les identifiants corrects sont utilisés par une personne autre que le propriétaire légitime du compte.
L'attribution d'un score de risque à la connexion peut empêcher l'attaquant d'obtenir l'accès, et la surveillance du comportement pendant la session peut détecter un comportement à risque et mettre fin à la session si l'attaquant obtient l'accès.
Protection des applications IA
Les applications basées sur l'IA générative sont de plus en plus reconnues comme des failles de sécurité pour les entreprises. Si un pirate a accès à l'application IA, il peut la manipuler ou modifier ses garde-fous pour donner des réponses malveillantes ou toxiques aux prompts utilisateur, ainsi que pour extraire directement des informations de l'application. Les protections spécifiques à l'IA constituent une approche multicouche importante pour la protection des applications IA.
Appliquer une approche multicouche de la sécurité
Il est probable que les entreprises ne disposent jamais des ressources nécessaires pour faire preuve de diligence raisonnable auprès de chaque fournisseur dans leur chaîne d'approvisionnement de logiciels. Et même si elles détectaient des vulnérabilités, il serait peu pratique d'éviter d'utiliser certains des principaux fournisseurs de logiciels ou de leur demander de changer de partenaire technologique.
Par conséquent, la solution la plus réaliste consiste à appliquer une approche multicouche de la sécurité pour se protéger contre les violations dans la chaîne d'approvisionnement de logiciels.
Balises
