Il fallait s’y attendre : les Scattered LAPSUS$ Hunters viennent d’ajouter un nouveau trophée à leur tableau de chasse.
Cette fois, c’est Salesforce, la superstar du cloud CRM.
Un milliard d’enregistrements exfiltrés, quarante entreprises touchées, et une demande de rançon astronomique.
Mais Salesforce a tenu bon. Pas de paiement, pas de négociation — et surtout, pas de compromission interne.
👏 Respect.
Sauf que… comme souvent, la faille ne vient pas du cloud lui-même, mais de ce qu’on y branche.
🧠 Une attaque brillante dans sa simplicité
Les Scattered LAPSUS$ Hunters n’ont pas sorti un 0-day magique.
Ils ont utilisé leur arme favorite : l’humain.
Phishing, vishing, social engineering… le cocktail classique du collectif (descendant direct des anciens groupes LAPSUS$et Scattered Spider).
Leur objectif : voler des jetons OAuth, ces sésames qui permettent aux applis tierces de se connecter à Salesforce sans mot de passe.
Et quand on parle de Salesforce, on parle d’un écosystème tentaculaire :
- SalesLoft, Drift, HubSpot, Marketo, LinkedIn Sales Navigator…
Autant d’applications marketing qui demandent des autorisations d’accès “API” sur vos données clients.
🎯 En subtilisant ces jetons, les attaquants ont pu se connecter comme des intégrations légitimes et extraire les bases CRM entières via l’API Salesforce.
Pas besoin de pirater le cœur du cloud : les tuyaux étaient déjà ouverts.
🔐 Salesforce, victime collatérale d’un modèle SaaS interconnecté
La vraie leçon ici, c’est que même les clouds les plus solides deviennent vulnérables via leurs intégrations.
L’enquête préliminaire montre que :
- Les serveurs Salesforce n’ont subi aucune intrusion.
- Les jetons OAuth compromis provenaient d’applications clientes externes.
- L’exfiltration s’est faite via des appels API REST/Bulk légitimes, mais depuis des IP étrangères.
En clair :
Salesforce est l’endroit d’où les données ont été volées,
mais ce n’est pas Salesforce qui a été piraté.
💬 On pourrait dire que le cloud n’a pas craqué,
c’est l’écosystème qui a laissé passer la tempête.
🕵️♂️ LAPSUS$ et l’art du “social hack”
Leur spécialité, c’est de faire tomber les défenses humaines avant les pare-feu.
Souviens-toi : Uber, Rockstar, Okta, T-Mobile… tous avaient succombé à un appel téléphonique bien tourné ou à un compte Slack trop bavard.
Cette fois encore, les attaquants auraient :
- Usurpé des identités du support Salesforce Security,
- Contacté des employés via téléphone, Discord ou Teams,
- Obtenu l’autorisation OAuth sous prétexte de “vérification technique”.
Et une fois un jeton volé…
💾 “SELECT * FROM Contact”,
et voilà des millions de fiches clients en route vers un serveur inconnu.
💣 Le 3 octobre : la rançon tombe
Le 3 octobre 2025, le groupe lance son site d’extorsion sur le dark web.
Nom du projet : Scattered LAPSUS$ Hunters Leak Portal (on appréciera l’ego).
Il revendique :
- 1 milliard d’enregistrements volés,
- 40 entreprises concernées,
- et des rançons allant jusqu’à 50 millions de dollars.
Certaines grandes entreprises (comme Qantas ou Vodafone) figurent dans la liste.
Le message adressé à Salesforce est clair :
“You think your cloud is safe? We’re inside your clients’ data.”
💰 Ultimatum fixé au 10 octobre.
💬 Réponse de Salesforce : “Non.”
Pas de chantage, pas de tractation, pas de paiement.
Et franchement, ça force le respect.
🔒 Posture exemplaire.
⚙️ Une riposte maîtrisée
Dès le 4 octobre, Salesforce publie une déclaration officielle :
“No vulnerabilities were found in Salesforce systems. We are assisting affected customers and will not pay ransom.”
Derrière le rideau, la machine s’est mise en branle :
- Révocation massive des jetons OAuth actifs,
- Audit global des applications connectées,
- Notifications de sécurité envoyées aux clients,
- Collaboration immédiate avec le FBI et le NCSC britannique.
Le message est clair :
le cloud n’a pas plié, il s’est défendu — sans céder au racket.
🔍 Leçons à tirer pour tous les clients SaaS
Cette attaque est un électrochoc pour tout l’écosystème cloud.
Voici les bonnes pratiques qu’il serait temps d’imposer :
- Audit régulier des intégrations OAuth :
Vérifie quelles applis ont accès à tes données Salesforce, avec quels scopes, et depuis quand. - Rotation automatique des jetons OAuth :
Limiter leur durée de vie réduit la fenêtre d’exploitation. - Logs et alertes API :
Surveille les appels d’export ou les connexions inhabituelles. - MFA partout, même pour les applications tierces.
- Sensibilisation :
Tes collaborateurs sont ta première ligne de défense — ou ta première faille.
Et, tant qu’à faire :
👉 n’accorde jamais d’autorisation OAuth “full read/write” à une application marketing que tu n’as pas auditée.
C’est comme donner les clés de ton coffre à ton stagiaire préféré — plein de bonne volonté, mais un peu distrait.
💬 Notre mot à Salesforce
Chez SecuSlice, on aime piquer un peu les géants quand ils trébuchent,
mais cette fois, Salesforce mérite un vrai salut.
Pas parce qu’ils sont intouchables,
mais parce qu’ils ont réagi avec sang-froid, transparence et responsabilité.
Ils n’ont pas sorti le chéquier,
ils ont sorti la checklist.
Et dans un monde où beaucoup préfèrent “acheter le silence”,
c’est presque un acte militant.
🧭 Chronologie probable de l’attaque “Scattered LAPSUS$ Hunters” (Salesforce, 2025)
🕓 Juillet – Août 2025 : Phase d’infiltration (préparation & reconnaissance)
Objectif : cartographier les cibles connectées à Salesforce via OAuth et identifier des comptes privilégiés.
- Les acteurs du groupe (probablement anciens de Scattered Spider et LAPSUS$) relancent leurs activités sous un nouveau label : “Scattered LAPSUS$ Hunters”.
- Première phase : reconnaissance massive des intégrations SaaS.
- Utilisation de scans publics pour recenser les applications disposant d’un connecteur OAuth Salesforce (SalesLoft, Outreach, Drift, HubSpot, LinkedIn Sales Navigator…).
- Tentatives de phishing ciblé auprès d’administrateurs CRM / marketing pour obtenir des accès “app consent” (autorisation OAuth).
- SOCRadar note dès fin août des signaux sur des forums underground mentionnant une vente de jetons Salesforce.Poste : “Fresh Salesforce OAuth tokens – verified, access to 3 corporate orgs” (DarkWeb Market – 26 août 2025)
🕒 Mi-Septembre 2025 : Compromission d’intégrations tierces
Objectif : voler des jetons OAuth valides.
- Une campagne d’hameçonnage vocal (vishing) est lancée, typique du style LAPSUS$.
Les victimes reçoivent des appels se présentant comme “support Salesforce Security”, demandant une validation MFA ou un test d’app OAuth. - Plusieurs entreprises rapportent des connexions anormales via des clients API OAuth inconnus.
- Notamment des intégrations de marketing automation (SalesLoft, Drift).
- Les logs API montrent des exportations massives (Contacts, Leads, Accounts).
- Des traces d’activité apparaissent dans les journaux Salesforce :
API BULK EXPORTdepuis des IP hors zone géographique.- Authentification via OAuth avec
scope=api refresh_token.
🧩 Hypothèse : les jetons OAuth compromis provenaient d’apps marketing hébergées sur des environnements moins sécurisés, réutilisant des clés ou secrets faibles.
⚠️ Fin Septembre 2025 : Exfiltration massive
Objectif : vider les CRM clients Salesforce via API REST/Bulk.
- Entre le 25 et le 29 septembre, des exportations inhabituelles sont observées :
- Des volumes atteignant plusieurs centaines de millions d’enregistrements.
- Des requêtes de type
SELECT * FROM ContactouSELECT * FROM Account LIMIT 99999999.
- Les données extraites concernent :
- Données clients (nom, prénom, e-mail, téléphone, historique d’achat, segmentation).
- Données internes (notes commerciales, échanges, scoring).
- Les volumes agrégés suggèrent une compromission multi-clients, probablement via les mêmes connecteurs compromis.
🧠 Techniquement, les attaquants n’ont pas violé Salesforce directement : ils ont utilisé l’accès OAuth de confianceentre Salesforce et les applis marketing, ce qui rend l’exfiltration indétectable dans un premier temps.
💣 3 octobre 2025 : Publication et chantage
Objectif : extorsion publique et pression financière.
- Le groupe Scattered LAPSUS$ Hunters ouvre son site d’extorsion sur le dark web.
- Il revendique le vol de près d’un milliard d’enregistrements Salesforce de plus de 40 entreprises (dont Qantas, Vodafone, Capita, etc.).
- Les demandes de rançon s’élèvent à entre 5 et 50 millions USD selon la taille de la victime.
- Les acteurs annoncent une date limite au 10 octobre 2025 pour payer avant divulgation.
🗣️ Message publié :
“Salesforce thinks their cloud is safe. It’s not. We’re inside your clients’ data, and you have one week to respond.”
💬 4–8 octobre 2025 : Réactions publiques
Objectif : Salesforce réagit, les médias s’emparent du sujet.
- Salesforce publie une déclaration officielle :“No vulnerabilities were found in Salesforce systems. We are assisting affected customers and will not pay ransom.”
- Les grands médias (Reuters, The Guardian, CybersecurityDive) confirment la posture de refus.
- Des entreprises clientes (dont Qantas) reconnaissent des anomalies sur leurs intégrations Salesforce.
- Les autorités américaines et britanniques ouvrent des enquêtes conjointes (FBI & NCSC).
🧹 9–15 octobre 2025 : Remédiation et investigation
Objectif : contenir la propagation et sécuriser les environnements clients.
- Salesforce force la révocation de milliers de jetons OAuth actifs et envoie des alertes automatiques à ses clients :“Reauthorize connected applications – possible compromise detected.”
- Mise en place d’un “OAuth Incident Response Taskforce” avec les équipes clients.
- Plusieurs intégrations tierces (SalesLoft, Drift) désactivent temporairement leurs connexions API.
- Publication d’un advisory technique sur la sécurisation des connecteurs OAuth et l’audit des logs API.
🧩 En résumé
| Étape | Période | Description |
|---|---|---|
| Reconnaissance | Juillet–août 2025 | Identification des cibles Salesforce & des connecteurs OAuth |
| Vol de jetons | Mi-septembre 2025 | Ingénierie sociale & compromission d’apps tierces |
| Exfiltration | 25–29 septembre 2025 | Extraction massive via API Salesforce |
| Chantage public | 3 octobre 2025 | Lancement du site de fuite & demandes de rançon |
| Réaction Salesforce | 4–8 octobre 2025 | Déclaration officielle + refus de paiement |
| Containment | 9–15 octobre 2025 | Révocation des jetons OAuth + audit de sécurité |
