Le 2 septembre 2025, Cloudflare a confirmé avoir été victime collatérale d’une attaque sophistiquée contre Salesloft Drift, une plateforme de chat utilisée par de nombreuses grandes entreprises et connectée directement à Salesforce. La faille a permis à un acteur malveillant, identifié comme GRUB1, d’accéder à des informations sensibles stockées dans les tickets de support client de Cloudflare entre le 12 et le 17 août.

Bien que la société affirme que son infrastructure principale et ses services n’ont pas été compromis, l’incident a exposé des données contenues dans des tickets de support : informations de contact, descriptions de problèmes techniques et même d’éventuels tokens ou identifiants partagés par les clients.

Une attaque en chaîne qui a touché des centaines d’entreprises

Cette attaque ne s’est pas limitée à Cloudflare. Selon la reconnaissance faite par Salesloft elle-même, le groupe malveillant a exploité des identifiants OAuth du chatbot Drift pour infiltrer plusieurs instances de Salesforce. Sur place, ils ont mené un reconnaissance minutieuse des données et ont finalement lancé une exfiltration massive via la Salesforce Bulk API 2.0.

Ce modus operandi rappelle les campagnes récentes d’attaques à la chaîne de fourniture SaaS, où un point d’intégration unique sert de tremplin pour accéder aux données de dizaines ou de centaines d’organisations.

Quels sont les données compromises ?

Cloudflare a précisé que l’attaquant n’a accédé qu’aux objets “Case” de Salesforce, notamment :

• Nom et contact du client ayant ouvert le ticket.
• Objet et contenu du ticket (texte libre).
• Communications internes et externes relatives à l’incident.

Les éléments suivants n’ont pas été affectés :

• Les fichiers joints.
• L’infrastructure ou les services de Cloudflare.

Cependant, le risque réside dans le fait que des clients ont pu inclure dans leurs messages des tokens, mots de passe ou logs sensibles. Cloudflare a d’ailleurs détecté et révoqué de manière proactive 104 tokens API retrouvés dans les données exfiltrées.

Le plan de réponse de Cloudflare

L’entreprise a réagi rapidement avec une équipe de réponse aux incidents transversale intégrant des experts en sécurité, juridique, produit et communication. Les mesures prises comprennent :

1. Contenir immédiatement
   • Déconnexion totale de Drift/Salesloft.
   • Révocation des identifiants compromis.
   • Suppression des intégrations suspectes.
2. Enquêter de manière forensique
   • Analyse des journaux Salesforce.
   • Reconstruction des requêtes exécutées par GRUB1.
   • Vérification des cas pour détecter d’éventuels secrets exposés.
3. Prendre des mesures préventives
   • Rotation hebdomadaire des identifiants tiers.
   • Renforcement des contrôles de sécurité sur les intégrations.
   • Mise en place d’alertes pour détections de téléchargements massifs via API.
4. Communication et transparence
   • Notification à tous les clients concernés.
   • Recommandations claires pour atténuer le risque.
   • Publication d’un blog technique avec les indicateurs de compromission (IOCs).

📌 Plan d’action face à l’incident Drift–Salesforce

Pour les organisations utilisant Salesforce ou d’autres plateformes SaaS, il est recommandé de suivre un plan structuré par phases :

⏱ 0–24 heures : Contenir immédiatement

• Désactiver les intégrations affectées (Salesloft/Drift).
• Faire pivoter les identifiants critiques (tokens, clés API, OAuth).
• Bloquer les utilisateurs hérités liés aux intégrations.
• Capturer les journaux de Salesforce (LoginHistory, API Usage).

⏱ 24–72 heures : Enquêter et atténuer

• Examiner les Bulk API Jobs effectués durant la période compromise.
• Analyser les tickets à l’aide d’expressions régulières pour détecter d’éventuels secrets divulgués.
• Corréler les accès suspects dans le SIEM et le WAF.
• Prioriser la rotation des identifiants sensibles en fonction de leur exposition.

⏱ 7 jours : Renforcer la sécurité

• Mettre en place une rotation périodique des secrets.
• Appliquer des politiques de DLP dans Salesforce pour empêcher le partage de secrets en clair.
• Auditer les applications OAuth, en privilégiant le principe du moindre privilège.
• Surveiller en continu les anomalies (importations massives, connexions inhabituelles).
• Simuler des scénarios de brèche SaaS pour tester la résilience.

Une leçon sur les risques liés à l’écosystème SaaS

Ce incident met en lumière à quel point les intégrations avec des tiers représentent aujourd’hui l’un des maillons faibles de la sécurité d’entreprise. Chaque chatbot, plugin ou extension connecté à une plateforme critique comme Salesforce peut ouvrir la porte à des attaques sophistiquées.

Pour Cloudflare, l’impact est resté limité aux tickets de support, mais l’ampleur de l’attaque à l’échelle globale indique que GRUB1 cherche probablement à obtenir des crédentials réutilisables, afin de préparer de futures attaques contre des clients de divers secteurs.

Questions fréquentes (FAQ)

Que dois-je faire si je suis client de Cloudflare ?
Consultez votre portail de support pour vérifier les données que vous avez partagées dans vos cas. Faites immédiatement pivoter tous les tokens, clés API ou identifiants que vous avez inclus dans ces tickets.

Quel genre d’informations ont été divulguées ?
Principalement, les données de contact et le contenu des tickets de support (texte libre). Les fichiers joints n’ont pas été compromis.

Les services de Cloudflare ont-ils été affectés ?
Non. L’infrastructure centrale et les services de Cloudflare sont restés intacts. Seuls les objets “Case” dans Salesforce ont été concernés.

Quelles mesures de sécurité mon entreprise devrait-elle adopter ?

• Vérifier les intégrations SaaS et appliquer le principe du moindre privilège.
• Mettre en place une rotation automatique des identifiants.
• Surveiller les téléchargements massifs de données dans les plateformes critiques.
• Interdire l’inclusion de secrets dans les tickets de support.