Conséquences de la faille de sécurité de Salesloft Drift sur Cloudflare et nos clients

La semaine dernière, Cloudflare a été informé que nous (et nos clients) étions touchés par la faille de sécurité du chatbot Salesloft Drift. Cette faille a permis à une personne extérieure à Cloudflare d'avoir accès à notre instance Salesforce, celle que nous utilisons pour le support client et la gestion interne des requêtes clients, ainsi qu'à certaines des données qu'elle contient. La plupart de ces informations sont des coordonnées de clients et des données de base liées aux requêtes de support, mais certaines interactions avec le service client peuvent révéler des informations sur la configuration d'un client et contenir des informations sensibles, telles que des jetons d'accès. Étant donné que les données des requêtes de support Salesforce contiennent le contenu des tickets de support auprès de Cloudflare, toutes les informations qu'un client a pu transmettre à Cloudflare dans notre système de support, y compris les journaux, les jetons ou les mots de passe, doivent être considérées comme compromises, et nous vous recommandons fortement de changer tous les identifiants que vous avez pu nous transmettre par ce canal.

Dans le cadre de notre réponse à cet incident, nous avons effectué nos propres recherches dans les données compromises en quête de jetons ou de mots de passe et avons trouvé 104 jetons d'API Cloudflare. Nous n'avons identifié aucune activité suspecte en lien avec ces jetons, mais par précaution, tous ont été renouvelés. Tous les clients dont les données ont été compromises lors de cette violation ont été informés directement par Cloudflare.

Aucun service ni infrastructure Cloudflare n'a été compromis à la suite de cette violation.

Nous sommes responsables du choix des outils que nous utilisons pour soutenir notre activité. Avec cette violation, n'avons pas été à la hauteur des attentes de nos clients. Nous leur présentons nos sincères excuses. Le reste de ce blog présente une chronologie détaillée et des informations détaillées sur la façon dont nous avons enquêté sur cette violation.

La semaine dernière, Cloudflare a eu connaissance d'une activité suspecte au sein de son instance Salesforce et a découvert qu'elle, ainsi que des centaines d'autres entreprises, était la cible d'un acteur malveillant capable d'exfiltrer les champs de texte de requêtes de support de notre instance Salesforce. Notre équipe de sécurité a immédiatement ouvert une enquête, bloqué l'accès de l'acteur malveillant et pris un certain nombre de mesures, détaillées ci-dessous, pour sécuriser notre environnement. La rédaction de cet article de blog a pour objectif d'expliquer ce qui s'est passé, la manière dont nous avons réagi, et pour aider nos clients et d'autres à comprendre comment se protéger de cet incident.

Cloudflare utilise Salesforce pour effectuer un suivi de qui sont nos clients et de la manière dont ils utilisent nos services, et nous en faisons un outil de support pour interagir avec nos clients. Il est important de comprendre dans le cadre de cet incident que l'acteur malveillant a accédé uniquement aux données des « requêtes » Salesforce, qui peuvent être créées lorsque les membres de l'équipe de vente et d'assistance de Cloudflare doivent échanger des commentaires en interne pour venir en assistance à nos clients ; ils sont également créés lorsque les clients interagissent avec le support Cloudflare. Salesforce disposait d'une intégration avec le chatbot Salesloft Drift, que Cloudflare utilisait pour offrir à toute personne visitant notre site web un moyen de nous contacter.

Comme l'a annoncé Salesloft, un acteur malveillant s'est introduit dans ses systèmes. Dans le cadre de la violation, l'acteur malveillant a pu obtenir les identifiants OAuth associés à l'intégration Salesforce de l'agent de chat Salesloft Drift dans le but d'exfiltrer des données des instances Salesforce des clients de Salesloft. Notre enquête a révélé que cela faisait partie d'une attaque sophistiquée sur la chaîne d'approvisionnement ciblant les intégrations de tiers entre entreprises, affectant des centaines d'organisations dans le monde entier, clientes de Salesloft. Cloudforce One, l'équipe de recherche et d'informations sur les menaces de Cloudflare, a classé l'acteur malveillant avancé dans la catégorie GRUB1. D’autres révélations du groupe d'informations sur les menaces de Google font état de la même activité que celle que nous avons observée dans notre environnement.

Notre enquête a révélé que l'acteur malveillant avait compromis et exfiltré des données de notre locataire Salesforce entre le 12 et le 17 août 2025, après une reconnaissance initiale observée le 9 août 2025. Une analyse détaillée a permis de confirmer que l'exposition était limitée aux objets de requête Salesforce, qui se composent principalement de tickets de support client et des données qui s'y rapportent dans notre locataire Salesforce. Ces objets de requête contiennent des informations de contact client liées aux requêtes de support, des lignes d'objet de la requête et le corps de la correspondance liée à la requête mais pas de pièces jointes aux requêtes. Cloudflare ne demande ni n'exige des clients aucun secret, des identifiants ni clé API dans les requêtes de support. Cependant, dans certains scénarios de dépannage, il peut arriver que des clients collent des clés, des journaux ou d'autres informations sensibles dans les champs de texte du cas. Tout ce qui est transmis par ce canal doit maintenant être considéré comme compromis.

Nous pensons que cet incident n'était pas un événement isolé, mais que l'acteur malveillant avait l'intention de collecter des identifiants et des informations sur les clients pour de futures attaques. Étant donné que des centaines d'organisations ont été touchées par cette compromission de Drift, nous soupçonnons que l'acteur malveillant utilisera ces informations pour lancer des attaques ciblées contre les clients des organisations affectées. 

Cet article présente une chronologie de l'attaque, détaille notre réponse et propose des recommandations de sécurité pour aider d'autres organisations à atténuer des menaces similaires.

Dans cet article de blog, toutes les dates et heures sont en UTC.

Lorsque Salesforce et Salesloft nous ont informés le 23 août 2025 que l'intégration de Drift avait été utilisée de manière abusive dans plusieurs organisations, y compris Cloudflare, nous avons immédiatement lancé une réponse aux incidents de sécurité à l'échelle de l'entreprise. Nous avons activé des équipes transversales, réunissant des experts en sécurité, informatique, produits, juridique, communication et direction sous une structure de commandement unifiée.

Nous avons mis en place quatre flux de travail prioritaires clairs dans le but de protéger nos clients et Cloudflare :

1. Confinement immédiat des menaces : nous avons coupé l'accès de tous les acteurs malveillants en désactivant l'intégration Drift compromise, réalisé une analyse post-incident pour évaluer la portée de la compromission et éliminé la menace active de notre environnement.

2. Sécurisation de notre écosystème tiers : Nous avons immédiatement déconnecté toutes les intégrations tierces de Salesforce. Nous avons émis de nouveaux secrets pour tous les services et mis en place un nouveau processus pour les renouveler chaque semaine.

3. Protection de l'intégrité de nos systèmes plus étendus : nous avons élargi le renouvellement des identifiants à tous nos services et comptes Internet tiers à titre de précaution afin d'empêcher l'acteur malveillant d'utiliser des données compromises pour accéder à d'autres systèmes Cloudflare.

4. Analyse de l'impact client : nous avons analysé les données des objets de nos requêtes Salesforce pour déterminer si les clients pouvaient être compromis et pour faire en sorte qu'ils reçoivent des informations précises et en temps opportun concernant leur exposition potentielle.

Nos investigations dans le cadre de l'analyse après incident ont permis de reconstituer les activités de l'acteur malveillant contre Cloudflare, qui ont eu lieu entre le 9 et le 17 août 2025. Voici un résumé chronologique des actions de l'acteur malveillant, y compris la reconnaissance initiale avant la compromission initiale.

À 11:15, GRUB1 tente de valider un jeton d'API émis par Cloudflare pour l'API Salesforce. L’acteur malveillant utilise Trufflehog (un scanner de secrets open source populaire) comme User-Agent et envoie une requête de vérification à client/v4/user/jetons/verify. La requête échoue avec un 404 Not Found (Introuvable), confirmant que le jeton n'était pas valide. La source de ce jeton d'API n'est pas claire ; il pourrait avoir été obtenu de diverses sources, y compris d'autres clients Drift que GRUB1 aurait pu compromettre avant Cloudflare. 

À 22:14, GROB1 obtient l'accès à l'entité Salesforce de Cloudflare en utilisant des informations d'identification volées utilisées par l'intégration de Salesloft. À l'aide de ces informations d'identification, le GRUB1 se connecte depuis l'adresse IP 44[.]215[.]108[.]109 et envoie une requête GET au point de terminaison d’API /services/data/v58.0/sobjects/. Cette action semblait énumérer tous les objets de notre environnement Salesforce, offrant ainsi à l'acteur malveillant une vue d'ensemble des données qui y sont stockées.

Un jour après la violation initiale, l'acteur malveillant GRUB1 lance une autre attaque depuis la même adresse IP, 44[.]215[.]108[.]109. À partir de 19:33, l'acteur malveillant vole des données clients provenant d'objets de requêtes Salesforce. Il lance d'abord une énumération d'objets pour confirmer la structure des données, puis récupère immédiatement le schéma des objets de requêtes à l'aide du point de terminaison /sobjects/Case/describe/. Suit alors une vaste requête Salesforce énumérant les champs de l'objet de requête Salesforce.

L'acteur malveillant GRUB1 consacre des heures à effectuer une reconnaissance complète du locataire Salesforce de Cloudflare à partir de l'adresse IP 44[.]215[.]108[.]109. Il semble que son objectif était d'acquérir une compréhension de notre environnement. Pendant plusieurs heures, il exécute une série de requêtes ciblées :

• 00:17 - ll mesure l'étendue du locataire en comptant les comptes, les contacts et les utilisateurs ; 

• 04:34 - analyse des flux de travail de requête en interrogeant CaseTeamMemberHistory ; et 

• 11:09 – obtient confirmation de ce qu'il est dans un environnement de production en analysant les empreintes numériques de l'objet Organization. 

L'acteur malveillant a terminé sa reconnaissance par d'autres requêtes pour comprendre le fonctionnement de notre système d'assistance à la clientèle, y compris la manière dont les membres de l'équipe traitent les différents types de requête, dont les requêtes sont attribuées et réaffectées, et dont nos processus de support fonctionnent, puis il a interrogé le point de terminaison /limits/ pour connaître les seuils opérationnels de l'API. Les requêtes exécutées par GRUB1 lui ont permis d’obtenir des informations sur leur niveau d’accès, la taille des objets de requêtes et les limites d’API précises qu’ils devaient respecter pour éviter les détections au sein de notre environnement Salesforce.

Après la reconnaissance du 14 août 2025, nous n'avons observé aucun trafic ni connexion réussie par l'acteur malveillant GRUB1 pendant près de 48 heures.  

Il est revenu le 16 août 2025. À 19:26, GROB1 se reconnecte à l'entité Salesforce de Cloudflare depuis l'adresse IP 44[.]215[.]108[.]109 et, à 19:28, il exécute une requête finale unique : SELECT COUNT() FROM Case. Cette action a servi de « galop d'essai » final pour vérifier le volume exact de l'ensemble de données qu'ils s'apprêtaient à voler, ce qui marquait la fin définitive de la phase de reconnaissance et préparait le terrain pour l'attaque principale. 

GROB1 a lancé la phase d'exfiltration des données en passant à une nouvelle infrastructure, en se connectant à 11:11:23 depuis l'adresse IP 208[.]68[.]36[.]90. Après avoir effectué une dernière vérification du volume de l'objet de requête, il  lance une tâche d'API Salesforce Bulk 2.0 à 11:11:56. En un peu plus de trois minutes, il réussit à exfiltrer un ensemble de données contenant le texte des requêtes de support, mais sans pièces jointes ni fichiers, de notre instance de Salesforce. À 11 h 15 h 42, GRUB1 tente de brouiller ses traces en supprimant la tâche d'API. Cette action a dissimulé la preuve principale, mais notre équipe a pu reconstituer l'attaque à partir des journaux résiduels. 

Nous n'avons observé aucune autre activité de cet acteur malveillant après le 17 août 2025.

Salesloft a révoqué les connexions Drift-to-Salesforce pour l'ensemble de sa clientèle et a publié un avis sur son site web. À ce moment-là, Cloudflare n'avait pas encore été informée, et nous n'avions aucune indication suggérant que cette action du fournisseur puisse être liée à notre environnement.

Notre réponse à cet incident a commencé lorsque Salesforce et Salesloft nous ont informés d'une activité inhabituelle liée à Drift.  Nous avons rapidement mis en œuvre les étapes de confinement recommandées par les fournisseurs et les avons mobilisés pour recueillir des informations. 

Dès le 25 août, nous avions reçu des renseignements supplémentaires sur l'incident et avons intensifié notre réponse au-delà des mesures de confinement initiales recommandées par le fournisseur. Nous avons lancé notre propre enquête complète et déployé nos efforts de remédiation.

Notre priorité était de bloquer l'accès de GRUB1 à la source. Nous avons désactivé le compte utilisateur Drift, révoqué son ID client et ses secrets, et complètement purgé tous les logiciels et extensions de navigateur Salesloft des systèmes Cloudflare. Cette suppression complète a atténué le risque que l'acteur malveillant réutilise des jetons compromis, récupère l'accès via des sessions expirées ou utilise des extensions logicielles pour maintenir sa persistance. Par ailleurs, nous avons élargi notre examen de sécurité pour inclure tous les services tiers connectés à notre environnement Salesforce, en changeant les identifiants par précaution afin de rendre impossible tout mouvement latéral potentiel de l'acteur malveillant. 

Étant donné que nous utilisons Salesforce comme principal outil de gestion des données de notre support client, il y avait un risque que les clients aient soumis des secrets, des mots de passe ou d'autres données sensibles dans leurs demandes de service client. Nous devions comprendre quels matériaux sensibles étaient désormais en possession de l'attaquant. 

Nous nous sommes immédiatement concentrés sur la possibilité que certaines de ces données aient pu être utilisées pour compromettre les comptes, les systèmes ou l'infrastructure de nos clients. Nous avons examiné les données obtenues par l'acteur malveillant pour déterminer si elles contenaient des informations d'identification exposées, car les requêtes incluent des champs de texte libre dans lesquels les clients peuvent soumettre des jetons, des clés ou des journaux d'API Cloudflare à notre équipe de support. Nos équipes ont développé des outils de balayage personnalisés utilisant des techniques d'expressions régulières, d'entropie et de correspondance de modèles pour détecter à grande échelle les secrets potentiels de Cloudflare. 

Notre enquête a confirmé que l'exposition était strictement limitée au texte libre dans les objets de requêtes Salesforce, et non aux pièces jointes ou aux fichiers. Les requêtes sont utilisées par les équipes de vente et de support pour communiquer en interne sur les problèmes de support client et pour échanger directement avec les clients. Par conséquent, ces objets de requêtes contenaient uniquement des données textuelles, comprenant :

• La ligne d'objet de la requête Salesforce

• Le corps de la requête (texte libre pouvant inclure toute correspondance, y compris des clés, des secrets, etc., si le client les a fournis à Cloudflare)

• Les informations de contact du client (par exemple, nom de l'entreprise, adresse e-mail du demandeur, numéro de téléphone, nom de domaine de l'entreprise et pays de l'entreprise)

Cette conclusion a été validée par des examens approfondis des intégrations, des activités d'authentification, de la télémétrie des points de terminaison et des journaux réseau.

Bien que les identifiants principaux de Salesforce et de Salesloft aient déjà été renouvelés, l'étape suivante a consisté à mettre fin à nos intégrations tierces et à les rétablir de manière sécurisée. Nous avons commencé à réintégrer méthodiquement les services résiliés, en veillant à ce que chacun soit doté de nouveaux secrets et soumis à des contrôles de sécurité renforcés.

Pendant ce temps, nos équipes ont continué à analyser les données qui avaient été exfiltrées. Sur la base de l'analyse, nous avons trié et validé les expositions potentielles, en partant du principe que toutes les données susceptibles d'avoir été exposées devaient être examinées. Cela nous a permis de prendre des mesures directes en renouvelant les jetons émis par la plateforme Cloudflare immédiatement après leur découverte, un total de 104 jetons d'API ont été renouvelés. Aucune activité suspecte en lien avec ces jetons n'a été identifiée. 

Sur la base de l'analyse détaillée de Cloudflare, tous les clients concernés ont reçu par e-mail et par des notifications dans notre tableau de bord des informations sur l'incident et des recommandations d'étapes à suivre. 

Cet incident souligne la nécessité impérative d'une vigilance accrue pour sécuriser les applications SaaS et autres intégrations tierces. Les données compromises de centaines d'entreprises ciblées par cette attaque pourraient être utilisées pour lancer d'autres attaques. Nous exhortons toutes les organisations à adopter les mesures de sécurité suivantes :

• Déconnecter Salesloft et ses applications : déconnectez immédiatement toutes les connexions Salesloft de votre environnement Salesforce et désinstallez tout logiciel ou extension de navigateur associé.

• Renouveler les identifiants : réinitialisez les identifiants pour toutes les applications et intégrations tierces connectées à votre instance Salesforce. Remplacez les identifiants qui ont pu être transmis précédemment dans le cadre d'une requête de support avec Cloudflare. Compte tenu de la portée et de l'intention de cette attaque, nous vous recommandons également de procéder à un renouvellement de tous les identifiants tiers de votre environnement, ainsi que de tous les identifiants qui pourraient avoir figuré dans une requête de support avec un autre fournisseur. 

• Prévoir un renouvellement fréquent des identifiants : établissez un calendrier de renouvellement régulier pour toutes les clés API et autres secrets utilisés dans vos intégrations afin de réduire la fenêtre d'exposition.

• Examiner les données des requêtes de support : passez en revue toutes les données des requêtes de support client avec vos fournisseurs tiers pour identifier les informations sensibles qui ont pu être exposées. Recherchez les requêtes contenant des informations d'identification, des clés API, des détails de configuration ou d'autres données sensibles que les clients peuvent avoir partagées. Pour les clients Cloudflare spécifiquement : vous pouvez accéder à l'historique de vos requêtes de support via le tableau de bord Cloudflare sous Support > Support technique > Mes activités. Vous pouvez y filtrer les requêtes ou utiliser la fonction « Télécharger les requêtes » pour procéder à un examen complet.

• Procéder à une analyse médico-légale :  examinez les journaux d'accès et les autorisations de toutes les intégrations tierces, et passez en revue les documents publics associés à l'incident Drift, puis effectuez un examen de la sécurité de votre environnement si nécessaire.

• Appliquer le principe du moindre privilège : auditez toutes les applications tierces pour vérifier qu'elles fonctionnent avec le niveau d'accès minimum requis pour leur fonction (moindre privilège) et veillez à ce que les comptes administrateurs ne soient pas utilisés pour les fournisseurs. De plus, appliquez des contrôles stricts tels que des restrictions d'adresses IP et la liaison de session sur toutes les connexions tierces et B2B (Business-to-Business).

• Renforcer la surveillance et les contrôles : déployez une surveillance accrue pour détecter les anomalies telles que les exportations massives de données ou les connexions depuis des lieux inconnus. Bien qu'il soit difficile de capturer des journaux de tiers à tiers, il est impératif que ces journaux fassent partie de vos équipes de sécurité opérationnelle.

Vous trouverez ci-dessous les indicateurs de compromission (IOC) que nous avons observés concernant GRUB1. Nous les publions afin que d'autres organisations, et en particulier celles qui ont pu être affectées par la violation de données de Salesloft, puissent effectuer des recherches dans leurs journaux et vérifier que le même acteur malveillant n'a pas accédé à leurs systèmes ou à des tiers.

Nous sommes responsables des outils que nous sélectionnons et, lorsque ces outils sont compromis par des acteurs de menace sophistiqués, nous en assumons les conséquences. Notre équipe a répondu à la notification, et notre enquête a confirmé que les conséquences étaient strictement limitées aux données des objets de requêtes Salesforce, sans compromettre d'autres systèmes ou infrastructures de Cloudflare.

Cela dit, nous considérons que la compromission de n'importe quelle donnée est inacceptable. Nos clients font confiance à Cloudflare pour leurs données, leur infrastructure et leur sécurité. À notre tour, nous faisons parfois confiance à des outils tiers qui doivent être surveillés et dont l'accès aux ressources doit être précisément défini. De cela, nous sommes responsables. Nous avons manqué à nos obligations envers nos clients. Pour cela, nous vous présentons nos sincères excuses.

Alors que des outils tiers s'intègrent de plus en plus aux données internes des entreprises dans l'ensemble du secteur, nous devons examiner chaque nouvel outil avec une attention minutieuse. Cet incident a affecté des centaines d'organisations via un point d'intégration unique, ce qui met en évidence les risques interconnectés dans le paysage technologique actuel. Nous nous engageons à développer de nouvelles capacités pour nous aider, nous et nos clients, à nous défendre contre de telles attaques à l'avenir. Restez à l'écoute des annonces qui interviendront lors de la Semaine anniversaire de Cloudflare plus tard dans le mois.

Nous nous engageons également à communiquer des informations sur les menaces et des recherches à l'ensemble de la communauté de la sécurité. Dans les semaines à venir, notre équipe Cloudforce One publiera un article de blog analysant en profondeur les techniques de GRUB1 afin d'aider la communauté au sens large à se défendre contre des campagnes similaires.

Le tableau suivant fournit une vue granulaire et chronologique des actions spécifiques de GRUB1 pendant l'incident.