{"id":3323,"date":"2025-12-06T12:33:53","date_gmt":"2025-12-06T12:33:53","guid":{"rendered":"https:\/\/onyx.ma\/violation-de-securite-chez-salesforce-et-gainsight-les-risques-caches-des-integrations-saas-reveles\/"},"modified":"2025-12-06T12:33:56","modified_gmt":"2025-12-06T12:33:56","slug":"violation-de-securite-chez-salesforce-et-gainsight-les-risques-caches-des-integrations-saas-reveles","status":"publish","type":"post","link":"https:\/\/onyx.ma\/fr\/violation-de-securite-chez-salesforce-et-gainsight-les-risques-caches-des-integrations-saas-reveles\/","title":{"rendered":"Violation de s\u00e9curit\u00e9 chez Salesforce et Gainsight : les risques cach\u00e9s des int\u00e9grations SaaS r\u00e9v\u00e9l\u00e9s"},"content":{"rendered":"<p><strong>Salesforce confront\u00e9 \u00e0 une nouvelle vague de d\u00e9fis s\u00e9curitaires apr\u00e8s l&rsquo;incident li\u00e9 \u00e0 l\u2019int\u00e9gration Gainsight<\/strong><\/p>\n<p>Le num\u00e9ro un mondial de la gestion de la relation client (CRM) dans le cloud, Salesforce, fait l&rsquo;objet d&rsquo;examens approfondis suite \u00e0 une r\u00e9cente faille de s\u00e9curit\u00e9 impliquant la c\u00e9l\u00e8bre application Gainsight. Si le nombre de clients directement touch\u00e9s semble limit\u00e9, cet incident r\u00e9v\u00e8le des vuln\u00e9rabilit\u00e9s syst\u00e9miques propres aux extensions tierces pourtant jug\u00e9es fiables dans les environnements SaaS modernes. Face \u00e0 l&rsquo;\u00e9v\u00e8nement, les discussions se font urgentes autour de la transparence, de la r\u00e9ponse aux incidents et du besoin de renforcer la s\u00e9curit\u00e9 sur toute la cha\u00eene d&rsquo;approvisionnement logicielle.<\/p>\n<h2>Une violation enracin\u00e9e dans les connexions tierces<\/h2>\n<p>Le 19 novembre 2025, Salesforce a d\u00e9tect\u00e9 une \u00ab activit\u00e9 inhabituelle li\u00e9e aux applications publi\u00e9es par Gainsight \u00bb connect\u00e9es \u00e0 son \u00e9cosyst\u00e8me. Des actions suspectes r\u00e9v\u00e9laient la r\u00e9alisation d&rsquo;appels API non autoris\u00e9s, issus d&rsquo;adresses IP non autoris\u00e9es, via le Connected App Salesforce de Gainsight. Cette anomalie a soulev\u00e9 l&rsquo;hypoth\u00e8se que des acteurs malveillants aient pu s&#8217;emparer de jetons OAuth valides ou de secrets\u2014des \u00ab cl\u00e9s num\u00e9riques \u00bb accordant un acc\u00e8s persistant aux donn\u00e9es via des connexions inter-applications\u2014leur ayant permis d&rsquo;usurper des int\u00e9grations de confiance et potentiellement d&rsquo;acc\u00e9der \u00e0 des dossiers clients.<\/p>\n<p>La r\u00e9action de Salesforce a \u00e9t\u00e9 imm\u00e9diate : une alerte de s\u00e9curit\u00e9 transmise \u00e0 sa client\u00e8le, la r\u00e9vocation de tous les jetons d&rsquo;acc\u00e8s actifs et jetons de rafra\u00eechissement li\u00e9s \u00e0 Gainsight, ainsi que la suspension temporaire des applications Gainsight sur l&rsquo;<a href=\"https:\/\/www.salesforce.com\" target=\"_blank\" rel=\"noopener\">AppExchange<\/a>. L&rsquo;objectif : contenir l&rsquo;incident et pr\u00e9venir toute nouvelle intrusion, le temps qu&rsquo;une enqu\u00eate approfondie soit men\u00e9e. Moins de quelques heures plus tard, les connexions Gainsight vers Salesforce ont commenc\u00e9 \u00e0 \u00e9chouer dans les organisations affect\u00e9es, valant ainsi validation des mesures prises en urgence.<\/p>\n<h2>Contexte : attaques sur la cha\u00eene logistique visant les \u00e9cosyst\u00e8mes CRM<\/h2>\n<p>Les analystes en cybers\u00e9curit\u00e9 ont rapidement reli\u00e9 cet incident \u00e0 une campagne plus vaste et \u00e9volutive de compromission des cha\u00eenes d&rsquo;approvisionnement SaaS, avec un focus particulier sur la compromission de jetons OAuth. Cette m\u00e9thodologie s\u2019\u00e9tait d\u00e9j\u00e0 illustr\u00e9e d\u00e9but 2025 lors du piratage de l\u2019int\u00e9gration Salesloft\u2013Drift, o\u00f9 des cybercriminels affili\u00e9s au groupe d\u2019extorsion ShinyHunters (UNC6240) auraient exploit\u00e9 des identifiants OAuth d\u00e9rob\u00e9s pour infiltrer les Salesforce de plus de 700 entreprises, exfiltrant donn\u00e9es de contacts, dossiers clients et tickets de support.<\/p>\n<p>Dans cette nouvelle attaque, les chercheurs estiment que certains jetons vol\u00e9s lors de l\u2019incident Salesloft\u2013Drift auraient \u00e9t\u00e9 recycl\u00e9s pour cibler Gainsight et d\u2019autres connectors SaaS. ShinyHunters revendique la paternit\u00e9 des deux br\u00e8ches, assurant avoir p\u00e9n\u00e9tr\u00e9 pr\u00e8s de 1 000 organisations au cours de diff\u00e9rentes campagnes, dont plus de 285 instances Salesforce sp\u00e9cifiquement compromises via Gainsight. Il convient de pr\u00e9ciser que ces chiffres proviennent des propres communications des acteurs de la menace et n&rsquo;ont pas \u00e9t\u00e9 v\u00e9rifi\u00e9s par Salesforce ou Gainsight.<\/p>\n<h2>Quelles donn\u00e9es ont \u00e9t\u00e9 acc\u00e9d\u00e9es \u2013 et pour qui&nbsp;?<\/h2>\n<p>\u00c0 l\u2019heure o\u00f9 ces lignes sont \u00e9crites, Salesforce n\u2019a pas encore publiquement d\u00e9taill\u00e9 la nature des donn\u00e9es client potentiellement expos\u00e9es. Les premi\u00e8res analyses des incidents apparent\u00e9s orientent davantage vers l\u2019acc\u00e8s \u00e0 des coordonn\u00e9es professionnelles, des m\u00e9tadonn\u00e9es et des contenus li\u00e9s au support \u2013 et non vers des mots de passe ou des informations financi\u00e8res. Gainsight, de son c\u00f4t\u00e9, indique qu\u2019\u00e0 la fin novembre, seules trois organisations clientes Salesforce sont formellement identifi\u00e9es comme directement touch\u00e9es, sans preuve (\u00e0 ce stade) d\u2019un vol massif ou d\u2019un abus syst\u00e9matique de donn\u00e9es.<\/p>\n<p>Cependant, ce p\u00e9rim\u00e8tre limit\u00e9 ne doit pas minimiser la gravit\u00e9 de la menace. Les experts rappellent que le danger principal vient justement de la large surface d\u2019exposition cr\u00e9\u00e9e par les jetons OAuth, g\u00e9n\u00e9ralement assortis d\u2019autorisations larges et durables. La multiplication des connexions critiques par jetons amplifie la capacit\u00e9 d\u2019un assaillant \u00e0 \u00ab pivoter \u00bb d\u2019une int\u00e9gration \u00e0 l\u2019autre, ouvrant la porte \u00e0 une fuite silencieuse et potentiellement g\u00e9n\u00e9ralis\u00e9e.<\/p>\n<h2>R\u00e9actions officielles : mesures de confinement, notification et investigation<\/h2>\n<p>Salesforce insiste \u00e0 travers ses communications : la faille r\u00e9sulte non pas d&rsquo;une vuln\u00e9rabilit\u00e9 dans sa plateforme principale, mais bien de la gestion des jetons et pratiques de s\u00e9curit\u00e9 au sein des applications tierces \u00e9dit\u00e9es par Gainsight, et exploit\u00e9es dans le maillage SaaS\u2013SaaS. Son plan de r\u00e9ponse comprenait&nbsp;:<\/p>\n<ul>\n<li>La r\u00e9vocation de tous les jetons li\u00e9s aux apps sign\u00e9es Gainsight<\/li>\n<li>La suppression temporaire de ces int\u00e9grations du marketplace<\/li>\n<li>La notification directe des clients estim\u00e9s \u00e0 risque<\/li>\n<li>Lancement de l\u2019investigation num\u00e9rique forensique avec l\u2019appui de Gainsight<\/li>\n<\/ul>\n<p>Gainsight a, en parall\u00e8le, inform\u00e9 ses utilisateurs et confirm\u00e9 l\u2019incident. La soci\u00e9t\u00e9 indique avoir mandat\u00e9 des experts externes, dont le cabinet de r\u00e9ponse \u00e0 incident Mandiant, pour garantir une investigation rigoureuse et transparente. Par pr\u00e9caution suppl\u00e9mentaire, Gainsight a mis en pause temporairement ses connecteurs OAuth vers d&rsquo;autres grandes plateformes telles que HubSpot et Zendesk \u2013 alors qu\u2019aucune activit\u00e9 suspecte n\u2019y avait \u00e9t\u00e9 relev\u00e9e au dernier pointage. Les mises \u00e0 jour \u00e0 la communaut\u00e9 continuent via des FAQ d\u00e9di\u00e9es et les canaux de support (<a href=\"https:\/\/communities.gainsight.com\/community-news-2\/salesforce-security-advisory-relating-to-gainsight-faqs-29809\" target=\"_blank\" rel=\"noopener\">voir la FAQ la plus r\u00e9cente<\/a>).<\/p>\n<h2>Cha\u00eene logistique SaaS : quelles le\u00e7ons en tirer&nbsp;?<\/h2>\n<p>L\u2019incident Salesforce\u2013Gainsight expose cr\u00fbment les points faibles structurels des cha\u00eenes SaaS interconnect\u00e9es. D\u00e9sormais, banques, fintechs, op\u00e9rateurs t\u00e9l\u00e9coms et administrations ajoutent des couches de solutions m\u00e9tier et d\u2019outils d\u2019engagement clients sur Salesforce, chacune fonctionnant avec des jetons de longue dur\u00e9e, donnant des droits profonds. Lorsqu\u2019une seule int\u00e9gration est compromise, l\u2019effet domino peut parcourir la cha\u00eene enti\u00e8re et impacter d\u2019innombrables applications connect\u00e9es et ensembles de donn\u00e9es.<\/p>\n<p>Le mode op\u00e9ratoire des attaquants via les jetons OAuth d\u00e9montre aussi bien leur sophistication que les angles morts encore trop fr\u00e9quents dans la posture de s\u00e9curit\u00e9 des entreprises. M\u00eame quand les plateformes \u00ab c\u0153ur \u00bb renforcent leur d\u00e9fense, le r\u00e9seau des extensions \u00ab de confiance \u00bb \u00e9chappe trop souvent aux v\u00e9rifications approfondies. Cette s\u00e9rie d\u2019incidents r\u00e9affirme l\u2019imp\u00e9ratif de&nbsp;:<\/p>\n<ul>\n<li>Passer r\u00e9guli\u00e8rement en revue et retirer toute application tierce superflue ou non audit\u00e9e<\/li>\n<li>Mettre en place des listes IP restrictives et durcir les droits sur les int\u00e9grations<\/li>\n<li>D\u00e9ployer le monitoring et l\u2019alerte automatis\u00e9s en cas d\u2019acc\u00e8s API inhabituels<\/li>\n<li>Adopter la rotation et la r\u00e9vocation rapides des jetons<\/li>\n<li>\u00c9laborer des plans de r\u00e9ponse multi-fournisseurs adapt\u00e9s aux incidents SaaS<\/li>\n<\/ul>\n<h2>Transparence &#038; communication : rassurer un \u00e9cosyst\u00e8me sous tension<\/h2>\n<p>Salesforce et Gainsight ont tous deux privil\u00e9gi\u00e9 la transparence depuis la r\u00e9v\u00e9lation de l\u2019affaire, multipliant notes d\u2019information, FAQ communautaires et r\u00e9ponses \u00e0 la client\u00e8le. M\u00eame si l\u2019invalidation massive des jetons a pu entra\u00eener des coupures soudaines sur certaines fonctions critiques reliant Gainsight \u00e0 Salesforce, la grande majorit\u00e9 des entreprises ont reconnu la n\u00e9cessit\u00e9 d\u2019une r\u00e9ponse \u00e9nergique pour limiter le risque.<\/p>\n<p>Pour de nombreux utilisateurs, l\u2019incident aura surtout mis en lumi\u00e8re le manque de visibilit\u00e9 sur la s\u00e9curit\u00e9 SaaS. La r\u00e9vocation d\u2019urgence des jetons OAuth a certes coup\u00e9 court \u00e0 l\u2019acc\u00e8s malicieux, mais aussi effac\u00e9 les traces permettant de cartographier finement les services et comptes concern\u00e9s, compliquant la t\u00e2che des analystes internes. D\u2019o\u00f9 la n\u00e9cessit\u00e9, en compl\u00e9ment des outils techniques, d\u2019une meilleure tra\u00e7abilit\u00e9, de proc\u00e9dures solides, et d\u2019une coordination accrue entre partenaires lors d\u2019incidents cha\u00eene logistique.<\/p>\n<h2>Enjeux pour les entreprises marocaines et \u00e0 l\u2019international<\/h2>\n<p>L&rsquo;onde de choc d\u00e9passe largement la client\u00e8le am\u00e9ricaine et europ\u00e9enne de Salesforce. Des milliers d\u2019entreprises marocaines \u0153uvrant dans la banque, les t\u00e9l\u00e9communications, le commerce ou l\u2019administration comptent sur Salesforce pour la gestion de la relation client, l\u2019analytique m\u00e9tier ou l\u2019aide \u00e0 la d\u00e9cision. Beaucoup ont adopt\u00e9 Gainsight ou des outils partenaires pour automatiser des t\u00e2ches ou enrichir la connaissance client. Pour ces organisations, l\u2019acc\u00e8s fluide aux donn\u00e9es critiques est devenu une condition essentielle \u00e0 la bonne marche de leurs activit\u00e9s.<\/p>\n<p>Les bulletins de s\u00e9curit\u00e9 recommandent \u00e0 chaque entit\u00e9 concern\u00e9e, tous secteurs et pays confondus, d\u2019initier sans d\u00e9lai les actions suivantes&nbsp;:<\/p>\n<ul>\n<li><strong>R\u00e9voquer tous les jetons OAuth existants<\/strong> et r\u00e9initialiser les secrets li\u00e9s aux int\u00e9grations Gainsight<\/li>\n<li><strong>Effectuer une analyse minutieuse des journaux d\u2019activit\u00e9<\/strong> sur Salesforce et Gainsight, avec un accent sur les IP suspectes et les extractions volumineuses<\/li>\n<li><strong>D\u00e9sactiver ou r\u00e9autoriser toute connexion tierce obsol\u00e8te ou douteuse<\/strong><\/li>\n<li><strong>Renforcer les restrictions r\u00e9seau<\/strong> pour n\u2019autoriser l\u2019acc\u00e8s qu\u2019aux \u00e9quipements et adresses l\u00e9gitimes<\/li>\n<li><strong>Actualiser les proc\u00e9dures de r\u00e9ponse \u00e0 incident<\/strong> afin de garantir le reporting r\u00e9glementaire et une information claire aux clients<\/li>\n<\/ul>\n<p>Pour les entreprises marocaines soumises \u00e0 la r\u00e9glementation cybers\u00e9curit\u00e9 et protection des donn\u00e9es nationale, l\u2019\u00e9v\u00e9nement rappelle aussi l\u2019utilit\u00e9 de revoir non seulement leur propre gestion des risques SaaS, mais \u00e9galement celle de chaque fournisseur et int\u00e9grateur tiers \u00e9voluant au sein de leur \u00e9cosyst\u00e8me digital.<\/p>\n<h2>\u00c0 quoi s&rsquo;attendre pour la suite&nbsp;?<\/h2>\n<p>L\u2019enqu\u00eate Salesforce\u2013Gainsight suit son cours, avec l\u2019engagement r\u00e9it\u00e9r\u00e9 de transparence totale et d\u2019actualisation r\u00e9guli\u00e8re des informations. D\u2019ores et d\u00e9j\u00e0, les chercheurs en s\u00e9curit\u00e9 s\u2019accordent pour affirmer que l\u2019affaire va pr\u00e9cipiter la mise en \u0153uvre de garde-fous plus pointus, d\u2019une meilleure hygi\u00e8ne OAuth et d\u2019un contr\u00f4le accru des fournisseurs par l\u2019industrie enti\u00e8re.<\/p>\n<p>Pour l\u2019instant, Salesforce maintient que sa plateforme n\u2019a pas \u00e9t\u00e9 techniquement compromise, et que l\u2019ensemble des mesures prises avait pour but de prot\u00e9ger ses clients. Gainsight cr\u00e9dite m\u00eame la proactivit\u00e9 de Salesforce et sa rapidit\u00e9 de notification pour avoir permis une limitation rapide de l\u2019incident. Reste \u00e0 savoir si le nombre d\u2019organisations concern\u00e9es va cro\u00eetre, ou si de nouvelles failles sur d\u2019autres int\u00e9grations viendront s\u2019ajouter. Mais une certitude\u00a0: vigilance, transparence et responsabilit\u00e9 collective sont d\u00e9sormais la r\u00e8gle dans le paysage SaaS ultra-connect\u00e9 contemporain.<\/p>\n<p>Pour en savoir plus ou obtenir des mises \u00e0 jour, les clients peuvent consulter <a href=\"https:\/\/appomni.com\/blog\/salesforce-gainsight-unauthorized-access-security-advisory\/\" target=\"_blank\" rel=\"noopener\">l\u2019avis d\u2019AppOmni<\/a> ainsi que l\u2019<a href=\"https:\/\/arcticwolf.com\/resources\/blog\/salesforce-discloses-unauthorized-access-customer-data-compromised-gainsight-published-applications\/\" target=\"_blank\" rel=\"noopener\">analyse technique d\u2019Arctic Wolf<\/a> consacr\u00e9s \u00e0 cet incident.<\/p>\n<h2>L\u2019avenir&nbsp;: confiance et vigilance \u00e0 l\u2019\u00e8re du SaaS<\/h2>\n<p>Ce nouvel \u00e9pisode autour de Salesforce et Gainsight rappelle qu\u2019\u00e0 l\u2019\u00e8re des partenariats technologiques \u00e0 grande \u00e9chelle, nul ne peut traiter les liens applicatifs tiers comme anodins, ou \u00ab \u00e0 configurer puis oublier \u00bb. L\u2019enjeu, qu\u2019il soit d\u2019image ou op\u00e9rationnel, devient crucial. Alors que la temp\u00eate retombe, un consensus \u00e9merge\u00a0: la s\u00e9curit\u00e9 des environnements CRM devra \u00e9voluer, s\u2019attacher non seulement \u00e0 verrouiller les plateformes centrales, mais aussi \u00e0 surveiller, auditer, et d\u00e9connecter rapidement tout fil de la trame complexe de la productivit\u00e9 num\u00e9rique.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La faille de s\u00e9curit\u00e9 entre Salesforce et Gainsight met en \u00e9vidence les risques croissants li\u00e9s aux int\u00e9grations SaaS. D\u00e9couvrez ce qui a \u00e9t\u00e9 compromis, les mesures prises par les deux entreprises, et les bonnes pratiques \u00e0 adopter.<\/p>\n","protected":false},"author":1,"featured_media":3320,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","rank_math_focus_keyword":"","rank_math_description":""},"categories":[268],"tags":[],"class_list":["post-3323","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tech-stack"],"_links":{"self":[{"href":"https:\/\/onyx.ma\/fr\/wp-json\/wp\/v2\/posts\/3323","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/onyx.ma\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/onyx.ma\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/onyx.ma\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/onyx.ma\/fr\/wp-json\/wp\/v2\/comments?post=3323"}],"version-history":[{"count":1,"href":"https:\/\/onyx.ma\/fr\/wp-json\/wp\/v2\/posts\/3323\/revisions"}],"predecessor-version":[{"id":3324,"href":"https:\/\/onyx.ma\/fr\/wp-json\/wp\/v2\/posts\/3323\/revisions\/3324"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/onyx.ma\/fr\/wp-json\/wp\/v2\/media\/3320"}],"wp:attachment":[{"href":"https:\/\/onyx.ma\/fr\/wp-json\/wp\/v2\/media?parent=3323"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/onyx.ma\/fr\/wp-json\/wp\/v2\/categories?post=3323"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/onyx.ma\/fr\/wp-json\/wp\/v2\/tags?post=3323"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}