L’année 2025 de Salesforce aura été particulièrement agitée côté cybersécurité.
Depuis plusieurs mois, l’entreprise américaine alerte ses clients sur une vaste campagne d’ingénierie sociale, dans laquelle des attaquants se font passer pour le support technique pour obtenir des accès auprès des employés de grandes sociétés. Des intrusions qui s’appuient avant tout sur le vol de jetons d’authentification et la manipulation humaine, permettant aux hackers d’exfiltrer des millions de dossiers clients.
Encore fragilisée par cette campagne, dont elle a été un vecteur central malgré elle, l’entreprise Salesforce doit désormais faire face à un nouvel incident révélé le 20 novembre 2025 par un communiqué officiel.
Des applications disponibles dans sa marketplace mettraient en péril la confidentialité des données clients stockées sur la plateforme.
Pourquoi Salesforce est visé ?
Cette succession d’attaques ciblant Salesforce s’explique par la place stratégique occupée par la plateforme dans les infrastructures de nombreuses entreprises à travers le monde.
Pour rappel, Salesforce est une solution cloud dédiée à la gestion de la relation client (CRM) et permet de stocker une grande variété de données sensibles liées aux activités commerciales.
Dans ce nouvel incident, la société a détecté des activités inhabituelles impliquant les applications Gainsight, des outils tiers utilisés pour optimiser la gestion de l’expérience client et analyser le parcours utilisateur sur Salesforce.
En résumé, Gainsight sert de passerelle entre Salesforce et d’autres solutions orientées « Customer Success » : il analyse les interactions entre les entreprises et leurs clients, identifie les risques ou opportunités de fidélisation, et propose des actions automatisées pour améliorer la relation.
Les applications Gainsight se connectent à Salesforce via un mécanisme appelé OAuth, qui permet aux logiciels tiers d’accéder de manière sécurisée aux données de la plateforme. Cependant, cette sécurité repose sur l’intégrité du jeton d’accès. Ainsi, en cas de détournement ou de compromission, toutes les données accessibles par Gainsight peuvent être exposées.
Les suspicions autour de l’attaque
Ce sont précisément ces jetons d’accès OAuth qui se trouvent au cœur de l’attaque. Salesforce a révélé qu’ils avaient été ciblés par des acteurs malveillants appartenant au groupe de hackers ShinyHunters, connus pour s’attaquer aux intégrations SaaS (logiciels en tant que service).
Salesforce n’a pas communiqué sur l’ampleur de la fuite, mais ses clients concernés ont été notifiés.
Par mesure de précaution, Salesforce a révoqué l’ensemble des jetons d’accès et de rafraîchissement associés à Gainsight et retiré temporairement cette application de sa marketplace.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !