Une cyberattaque à la racine d’un écosystème numérique
En mars 2025, une cyberattaque sophistiquée a compromis l’environnement technique de Salesloft, spécialiste de l’automatisation des ventes et du marketing. À l’origine du piratage : l’accès illicite au compte GitHub de l’entreprise. Ce dépôt, source centrale de code et de configurations, a offert un point d’entrée discret mais dévastateur. Les attaquants, identifiés comme le groupe UNC6395, ont su tirer parti de cette brèche pour initier une offensive majeure contre la supply chain digitale.
Infiltration et reconnaissance furtive sur GitHub
Dès mars, les acteurs malveillants ont pénétré le dépôt GitHub de Salesloft. Pendant trois mois, ils y ont effectué un travail de reconnaissance en silence : étude du code source, ajout d’utilisateurs fantômes et mise en place de workflows malveillants. Ces actions visaient à préparer le terrain pour une attaque de plus grande ampleur. Cette phase, longtemps non détectée, démontre le manque criant d’alertes efficaces sur les accès tiers au sein des environnements de code partagés, malgré leur criticité.
Vol de jetons OAuth : la faille décisive
En juin 2025, les pirates ont franchi une étape clé. Grâce à leur accès prolongé, ils sont parvenus à infiltrer l’environnement Amazon Web Services (AWS) de Drift, une filiale de Salesloft et plateforme IA intégrée. C’est ici que résidaient les jetons OAuth des clients de Drift — des clés permettant l’accès automatisé à des services tiers comme Salesforce et Google Workspace. Leur vol permet aux attaquants de se faire passer pour les utilisateurs et de siphonner des données confidentielles à grande échelle, sans déclencher d’alerte immédiate.
Des entreprises de renom ciblées
Parmi les victimes de cette attaque figurent plusieurs géants technologiques : Google, Cloudflare, Palo Alto Networks, Zscaler, Bugcrowd ou encore Proofpoint. Les attaquants ont accédé aux tickets d’assistance sur Salesforce, y dénichant des mots de passe, jetons de session, clés d’accès AWS et autres secrets. Ce sont donc les contenus même des demandes de support qui ont servi d’accélérateur à la compromission en cascade de nombreuses firmes.
Une brèche restée active pendant six mois
L’un des éléments les plus préoccupants révélés par cette attaque est la lenteur de sa détection. La compromission a perduré pendant environ six mois – un laps de temps suffisant pour exfiltrer méthodiquement une quantité massive d’informations. Ce délai prouve que les systèmes de détection d’intrusion et de supervision interne chez Salesloft et Drift étaient largement perfectibles, voire obsolètes dans certains cas.
Réaction technique et rétablissement progressif
Face à cette catastrophe numérique, Salesloft a rapidement entamé une opération de confinement. L’environnement Drift a été isolé, les jetons compromis révoqués et les intégrations suspendues. L’expertise de Mandiant, filiale de Google spécialisée en cybersécurité, a été mobilisée pour une analyse forensic approfondie. Après vérification, l’intégration Salesforce a pu être restaurée début septembre 2025, attestant d’un retour progressif à la normale — mais pas sans stigmates.
Audits, architecture et confiance à reconstruire
L’enquête, toujours en cours, cherche à déterminer pourquoi ces jetons OAuth étaient stockés dans le cloud de manière centralisée et comment un accès GitHub apparemment anodin a pu ouvrir de telles brèches. Cette attaque est l’illustration dramatique des risques liés aux attaques sur la chaîne d’approvisionnement logicielle. Les experts recommandent une refonte complète des protocoles d’authentification, une meilleure séparation des responsabilités cloud et la supervision renforcée de tous les dépôts Git distants utilisés en production.
Un cas d’école pour les experts en cybersécurité
Le piratage de Drift-Salesloft s’impose comme un cas d’école dans l’univers des incidents cyber. Il démontre que la sécurité périphérique — GitHub, intégrations OAuth, formulaires de support — est souvent la plus négligée, alors qu’elle constitue une porte d’entrée privilégiée pour les attaquants modernes. Cela impose une vigilance accrue sur les jetons d’accès, les API publiques, et toute solution SaaS intégrable. L’industrie doit désormais se doter de standards plus stricts sur la gestion des secrets et la séparation des privilèges.
Repenser la cybersécurité avec les solutions d’IA ChappyGo
Chez ChappyGo, leader de l’IA à Toulouse, nous accompagnons les entreprises dans la mise en place de stratégies de cybersécurité avancées grâce à l’intelligence artificielle. Nos services intègrent la détection comportementale en temps réel, l’analyse prédictive des vulnérabilités, ainsi que la formation continue de vos équipes à la sécurité numérique. Que vous soyez un éditeur SaaS, une startup ou un acteur du cloud, nos experts conçoivent des solutions d’IA personnalisées pour anticiper et bloquer les menaces avant qu’elles ne surgissent. Découvrez dès maintenant les services d’IA de ChappyGo spécialement conçus pour renforcer vos architectures de cybersécurité.
Anticipez les risques de demain : sécurisez votre infrastructure aujourd’hui
La cyberattaque contre Salesloft et Drift est un signal d’alarme pour toutes les entreprises utilisant des outils intégrés à travers des plateformes SaaS. Il est impératif de revoir vos pratiques de stockage de jetons, vos accès aux dépôts de code, et vos politiques de gestion des identifiants. Pour aller plus loin, contactez-nous chez ChappyGo afin de bénéficier d’un audit gratuit de votre posture cybersécurité, suivre une formation en IA ou développer une solution sur mesure pour protéger durablement votre écosystème IT.
Tags : Salesloft GitHub breach, Drift OAuth token theft, Supply chain cyberattack 2025, cybersécurité cloud, UNC6395 hacking group, Mandiant forensic investigation, sécurité SaaS, ChappyGo IA, protection jetons OAuth