Les intégrations tierces, vecteur de nouvelles menaces dans Salesforce

Les attaques de la supply chain apparaissent parmi les cybermenaces les plus redoutables de ces dernières années. Gartner y voit l'une des grandes priorités en matière de sécurité et de gestion des risques pour 2022 et prévoit que, « d'ici 2025, 45 % des organisations du monde entier auront subi des attaques de leur supply chain logistique, soit trois fois plus qu'en 2021 »*.

La plupart des entreprises opèrent au sein d'écosystèmes numériques étendus qui comprennent des centaines, voire des milliers de fournisseurs et de partenaires tiers. Les pirates informatiques exploitent ces connexions pour contourner les mesures de sécurité traditionnelles et atteindre leurs cibles.

Nous nous intéressons ici aux techniques utilisées par les hackers pour exploiter la plateforme Salesforce via des intégrations tierces. Composant essentiel des infrastructures de relation client pour des milliers d'organisations, le cloud Salesforce constitue une cible particulièrement attrayante pour les pirates informatiques en quête de données sensibles.

Le pirate informatique commence généralement par identifier un composant vulnérable, connecté ou intégré à la plateforme Salesforce. Il peut s'agir d'une application qui envoie ou reçoit des données structurées ou non structurées vers/depuis la plateforme Salesforce, via des API REST, SOAP ou autres. L’objectif du hacker est alors d’exploiter une vulnérabilité connue ou inconnue (comme le fameux bug Log4j) sur ce programme, pour le corrompre.

Si l'application vulnérable dispose d'un accès privilégié à la plateforme Salesforce, le pirate informatique pourra changer les autorisations, modifier les règles de partage ou altérer les données. Il pourra ainsi masquer ses mouvements latéraux et exploiter les connexions de Salesforce pour poursuivre son attaque.

Même sans accès privilégié, il peut chercher à exploiter la plateforme Salesforce en insérant en pièce jointe des fichiers malveillants ou en envoyant des liens de phishing via Chatter, Case, Account, Lead ou d'autres objets standard ou personnalisés des environnements Sales, Service ou Experience Cloud.

Les utilisateurs de Salesforce téléchargent ensuite le fichier malveillant ou ouvrent le lien de phishing depuis leur ordinateur. Il se peut que l'une de ces machines soit mal protégée, mal configurée ou présente une vulnérabilité : le pirate informatique peut alors exécuter une charge utile malveillante ou encore voler les identifiants de l'utilisateur. Selon l'utilisation faite de Salesforce par l'entreprise, les employés, les partenaires et les clients peuvent être touchés.

Le pirate informatique peut ensuite lancer sa véritable attaque, en instaurant une fonctionnalité de commande et de contrôle (C&C) sur l'appareil de l'utilisateur, pour en prendre le contrôle et utiliser ses droits d'accès. Libre à lui, ensuite, d'exfiltrer des données critiques ou de diffuser d'autres malwares sur le réseau de l'organisation, et éventuellement sur des réseaux tiers.

Pour visualiser une attaque-type, visionnez cette courte vidéo :

Pour en savoir plus, téléchargez notre dernier rapport. Vous comprendrez en détail comment les outils DevOps peuvent être ciblés et exploités. Vous bénéficierez aussi de conseils pratiques pour repérer ces tactiques et vous défendre efficacement.

Gartner Press Release, “Top Trends in Cybersecurity 2022”, Published 18 February 2022 By Analysts: Peter Firstbrook, Sam Olyaei, Pete Shoard, Katell Thielemann, Mary Ruddy, Felix Gaehtgens, Richard Addiscott, William Candrick. GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved.