Le piratage d’un compte GitHub aurait permis le vol de 1,5 milliard de données de 760 clients

Début septembre, on apprenait que le vol d'identifiants de salariés de Salesloft, puis de Salesforce, aurait pu affecter quelque 700 organisations recourant à leurs solutions de gestion de la relation client (CRM), comme nous l'avions raconté dans le fact-checking du soi-disant piratage de GMail.

• 2,5 milliards d’utilisateurs Gmail compromis ? Non, mais 700 entreprises potentiellement

Le groupe à l'origine du piratage a expliqué depuis à BleepingComputer que les jetons OAuth de l'application Drift de Salesloft qu'ils avaient compromis leur ont ensuite permis de dérober « environ 1,5 milliard de données provenant de 760 entreprises à partir des champs "Account", "Contact", "Case", "Opportunity" et "User" » d'applications Salesforce associées.

Ces derniers comprennent notamment les noms, pseudos, dates de naissance, adresses e-mail et postales, numéros de téléphone (portables, professionnels et personnels) ou encore revenus annuels estimés de prospects et clients.

Salesloft Drift est une plateforme qui connecte un agent de chat, Drift AI, à une instance Salesforce, pour permettre aux entreprises clientes de synchroniser les conversations, les prospects et les demandes d'assistance dans leur CRM. Drift Email est pour sa part utilisé pour gérer les réponses aux e-mails et organiser les bases de données CRM et d'automatisation du marketing, précise BleepingComputer.

Les attaques de type « prolifération des autorisations »

D'après BleepingComputer, Scattered Lapsus$ Hunters, à l'origine de l'attaque, regrouperait des pirates informatiques des groupes ShinyHunters, Scattered Spider et Lapsus$, spécialistes de l'ingénierie sociale et de l'extorsion de données.

En 2022, sept d'entre-eux, âgés de 17 à 21 ans, avaient été arrêtés par la police britannique. Leur porte-parole présumé, un autiste de 17 ans, avait alors amassé une fortune de 300 bitcoin, soit près de 14 millions de dollars, avant d'être dénoncé par des rivaux.

• L’étonnant profil du groupe cybercriminel LAPSUS$

Le Google Threat Intelligence Group (GTIG), qui les suit sous les intitulés UNC6040 et UNC6395, avait détaillé leur modus operandi en juin dernier. Joshua Wright, du SANS Institute, avait consacré un article à ce qu'il qualifie de « prolifération des autorisations » (« authorization sprawl », en VO), de plus en plus exploitée par des acteurs malveillants, et tout particulièrement par les membres de Scattered Spider.

En avril, Florian Roth, chef de la recherche dans la société de cybersécurité Nextron Systems, résumait ce nouveau modus operandi des acteurs de la menace en avançant que « les violations de données dans le cloud ne sont pas des piratages, mais des connexions » :

« Dans le passé, il fallait : hameçonner un utilisateur, déposer un logiciel malveillant, élever les privilèges, pivoter vers les serveurs, échapper à l'EDR [Endpoint detection and response, ndlr], voler les informations d'identification, se déplacer latéralement, s'exfiltrer discrètement, effacer ses traces, laisser une porte dérobée.

Aujourd'hui, vous n'avez qu'à : hameçonner un utilisateur, voler un jeton OAuth, accéder à tout depuis n'importe où. »

Un compte GitHub compromis de mars à juin

Une enquête de Mandiant a permis de découvrir que les pirates avaient d'abord compromis le compte GitHub de Salesloft de mars à juin 2025, entraînant le vol de jetons OAuth Drift. Ces derniers ont ensuite été utilisés, en août, dans le cadre d'attaques généralisées visant à voler des données Salesforce, explique BleepingComputer.

« Les premières conclusions ont montré que l'objectif principal de l'acteur était de voler des identifiants, en se concentrant spécifiquement sur des informations sensibles telles que les clés d'accès AWS, les mots de passe et les jetons d'accès liés à Snowflake », précisait Salesloft le 26 août.

Les pirates avaient également téléchargé du code à partir de plusieurs dépôts GitHub et ajouté des comptes d'utilisateurs invités, préparant le terrain pour les attaques ultérieures. Ils ont ensuite piraté l'environnement AWS de Drift, ce qui leur a permis de voler les jetons OAuth utilisés pour accéder aux données de certains de leurs clients, dont Salesforce et Google Workspace.

ShinyHunters a déclaré à BleepingComputer avoir utilisé le logiciel open source TruffleHog, développé par Truffle Security pour pouvoir précisément scanner des dépôts type GitHub à la recherche de clefs API, mots de passe, clefs de chiffrement privées, etc.

Le groupe déclare vouloir « passer dans la clandestinité »

Le groupe ShinyHunters/ScatteredSpider/LAPSUS$ a déclaré la semaine passée vouloir « passer dans la clandestinité », et cesser de discuter de ses opérations sur Telegram. Dans un message d'adieu, repéré par Databreaches.net, ses membres ont aussi affirmé avoir piraté le système LERS (Law Enforcement Request System) de Google, utilisé par les forces de l'ordre pour émettre des demandes de données, ainsi que la plateforme eCheck du FBI, utilisée pour effectuer des vérifications d'antécédents.

« Nous avons identifié qu'un compte frauduleux a été créé dans notre système pour des demandes des forces de l'ordre et avons désactivé le compte », a déclaré Google à BleepingComputer, précisant qu' « aucune demande n’a été faite avec ce compte frauduleux et aucune donnée n’a été consultée ».

Le FBI, qui a refusé de répondre à BleepingComputer, a dans la foulée publié une alerte FLASH (.pdf) « pour diffuser des indicateurs de compromis (IOC) associés aux récentes activités cybernétiques malveillantes des groupes cybercriminels UNC6040 et UNC6395, responsables d'un nombre croissant d'intrusions de vol et d'extorsion de données ».

Il recommande notamment de sensibiliser les employés des centres d'appel, qui constituent le premier vecteur de compromission des jetons OAuth ciblés par le groupe de pirates, et de généraliser, autant que faire se peut, l'authentification forte multifactorielle.

Signe de l'ampleur du problème, Scattered Spider avait déjà fait l'objet d'une précédente alerte, co-signée par le FBI, la Cybersecurity and Infrastructure Security Agency (CISA) et ses équivalents australiens, britanniques et canadiens. Initialement publiée en novembre 2023, elle avait été mise à jour fin juillet pour intégrer de nouveaux indicateurs de compromission.

Le site driftbreach.com recense les entreprises ayant reconnu avoir été touchées par la violation de jetons OAuth de Salesloft Drift. Y figurent 28 entreprises pour l'instant, dont HackerOne, Fastly, Dynatrace, Qualys, Elastic, CyberArk, Tenable, Proofpoint, Cloudflare, SpyCloud, Palo Alto Networks et Zscaler.