Breach chez Salesloft Drift : vol de jetons et exfiltration de données Salesforce par UNC6395

Selon KrebsOnSecurity, une compromission majeure de la plateforme de chatbot IA Drift (Salesloft) a conduit au vol de jetons d’authentification utilisĂ©s par des centaines d’intĂ©grations tierces, facilitant une vaste campagne d’exfiltration menĂ©e par l’acteur UNC6395. ‱ Impact et portĂ©e: des jetons permettant l’accĂšs Ă  Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure et OpenAI ont Ă©tĂ© dĂ©robĂ©s. Les organisations utilisant les intĂ©grations Salesloft sont appelĂ©es Ă  invalider immĂ©diatement tous les jetons stockĂ©s et Ă  partir du principe que leurs donnĂ©es sont compromises. L’incident met en lumiĂšre le risque d’‘authorization sprawl’, oĂč des jetons lĂ©gitimes permettent de circuler sans entraves entre systĂšmes cloud. ...

2 septembre 2025 Â· 2 min

Cookies de session : cibles privilégiées et protections essentielles

Cette analyse de Kaspersky (securelist) examine en profondeur le rĂŽle des cookies de navigateur comme composants de sĂ©curitĂ© et montre comment les cookies de session contenant des Session IDs deviennent des cibles majeures. Le contenu couvre les types de cookies, les exigences de conformitĂ© (GDPR, CCPA, LGPD), et comment une mauvaise gestion peut exposer des identifiants d’authentification et des donnĂ©es personnelles. L’étude dĂ©taille plusieurs vecteurs d’attaque : session hijacking, XSS, CSRF, et man-in-the-middle. Sur le plan technique, elle dĂ©crit la capture de session via HTTP non chiffrĂ©, le vol de cookies par injection JavaScript malveillante (XSS), la session fixation avec des Session IDs prĂ©dĂ©finis, ainsi que le cookie tossing exploitant des vulnĂ©rabilitĂ©s de sous-domaine. ...

2 septembre 2025 Â· 1 min

États-Unis : saisie de marketplaces de faux documents (VerifTools) utilisĂ©s pour contourner les vĂ©rifications d’identitĂ©

Source : United States Department of Justice (justice.gov). Le Bureau du procureur du District du Nouveau-Mexique et le FBI annoncent la saisie de deux domaines de marketplace et d’un blog liĂ©s Ă  « VerifTools », utilisĂ©s pour vendre des faux permis de conduire, passeports et autres piĂšces d’identitĂ© Ă  des cybercriminels afin de contourner les systĂšmes de vĂ©rification d’identitĂ© et obtenir des accĂšs non autorisĂ©s Ă  des comptes en ligne. 🚹 ...

2 septembre 2025 Â· 2 min

Fuite de secrets Azure AD dans appsettings.json exposant des accĂšs Microsoft 365

Selon Resecurity (blog), des chercheurs ont dĂ©couvert lors de tests d’intrusion des identifiants d’applications Azure AD (ClientId et ClientSecret) exposĂ©s dans des fichiers appsettings.json accessibles publiquement, une vulnĂ©rabilitĂ© de haute sĂ©vĂ©ritĂ© permettant une authentification directe aux endpoints OAuth 2.0 de Microsoft. ⚠ Sur le plan technique, l’attaque exploite le flux OAuth2 « Client Credentials » via une simple requĂȘte POST vers l’endpoint de jeton d’Azure avec les secrets divulguĂ©s, pour obtenir un Bearer token. Les attaquants enchaĂźnent ensuite avec des requĂȘtes GET authentifiĂ©es sur des endpoints Microsoft Graph — notamment /v1.0/users, /v1.0/oauth2PermissionGrants et /v1.0/groups — afin d’énumĂ©rer utilisateurs, permissions et structure organisationnelle. 🔑 ...

2 septembre 2025 Â· 2 min

NAS QNAP, Synology et Zyxel: vulnérabilités critiques ciblées par ransomwares et botnets

Source: Optiv (rĂ©fĂ©rence citĂ©e). Contexte: analyse de sĂ©curitĂ© des NAS d’entreprises (QNAP, Synology, Zyxel) et cartographie des techniques d’attaque selon MITRE ATT&CK. Le rapport identifie les NAS comme des cibles prioritaires pour des groupes ransomware et opĂ©rateurs de botnets, en raison de leur rĂŽle central dans le stockage des donnĂ©es. Il met en avant une exploitation rapide (≀72 h) des vulnĂ©rabilitĂ©s divulguĂ©es et l’émergence de souches de ransomware spĂ©cialisĂ©es visant spĂ©cifiquement les environnements NAS. ...

2 septembre 2025 Â· 2 min

Spyware commercial : panorama 2010‑2025 des vendeurs, chaĂźnes d’infection et dĂ©tection

Source : Sekoia (blog) — Le rapport dresse une vue d’ensemble 2010‑2025 de l’écosystĂšme des vendeurs de surveillance commerciale (CSV), montrant comment des entreprises privĂ©es conçoivent et vendent des spyware Ă  des clients gouvernementaux, malgrĂ© des crises de lĂ©gitimitĂ© et des sanctions. Le document met en avant l’évolution des CSV qui continuent de prospĂ©rer via rebranding, structures corporatives complexes et mĂ©thodes d’attaque de plus en plus sophistiquĂ©es. Il souligne les risques systĂ©miques pour la sociĂ©tĂ© civile, les journalistes et les activistes Ă  l’échelle mondiale. ...

2 septembre 2025 Â· 2 min

Zero-days actifs (WhatsApp, Citrix, Chrome) et campagnes APT/ransomware: bulletin Check Point

Selon Check Point Research, ce bulletin de threat intelligence (1er septembre 2025) signale une escalade des menaces avec des zero-days activement exploitĂ©s et des fuites massives de donnĂ©es touchant des millions d’individus. Il met l’accent sur l’urgence de corriger les vulnĂ©rabilitĂ©s divulguĂ©es et de renforcer les capacitĂ©s de rĂ©ponse Ă  incident. Faits saillants: exploitation de zero-days dans WhatsApp et Citrix NetScaler lors d’attaques ciblĂ©es, campagnes ransomware menĂ©es par le groupe Qilin, et une opĂ©ration de phishing sophistiquĂ©e baptisĂ©e ZipLine visant des infrastructures critiques. La campagne ZipLine exploite l’infrastructure Google Classroom pour contourner la supervision en entreprise et a diffusĂ© plus de 115 000 emails Ă  13 500 organisations dans le monde. ...

2 septembre 2025 Â· 2 min

Zscaler annonce un accÚs limité à des données Salesforce via des jetons OAuth Salesloft Drift volés

Source: Zscaler (zscaler.com). Zscaler indique avoir Ă©tĂ© touchĂ© par une campagne visant Salesloft Drift, un SaaS marketing intĂ©grĂ© Ă  Salesforce, au cours de laquelle des jetons OAuth ont Ă©tĂ© dĂ©robĂ©s, affectant un grand nombre de clients Salesforce. Selon Zscaler, des acteurs non autorisĂ©s ont obtenu des identifiants Salesloft Drift de clients, y compris Zscaler, permettant un accĂšs limitĂ© Ă  certaines informations Salesforce de Zscaler. L’incident est circonscrit Ă  Salesforce et n’implique aucun accĂšs aux produits, services, systĂšmes ou infrastructures de Zscaler. Aucune preuve de mĂ©susage des donnĂ©es n’a Ă©tĂ© constatĂ©e Ă  ce stade. ...

2 septembre 2025 Â· 2 min

Zscaler touché par la compromission OAuth de Salesloft Drift : exposition limitée de données Salesforce

SecurityAffairs rapporte que Zscaler a Ă©tĂ© impactĂ© par la campagne de vol de jetons OAuth liĂ©e Ă  Salesloft Drift, utilisĂ©e pour accĂ©der Ă  des instances Salesforce, sans compromission de ses produits ou de son infrastructure. ‱ L’éditeur indique que des acteurs non autorisĂ©s ont obtenu des identifiants Drift permettant une visibilitĂ© limitĂ©e sur certaines donnĂ©es Salesforce de Zscaler. Les informations exposĂ©es comprennent des coordonnĂ©es professionnelles (noms, emails, titres, numĂ©ros, rĂ©gions), des informations commerciales et de licences Zscaler, ainsi que du contenu de certains tickets de support. Zscaler a rĂ©voquĂ© l’accĂšs Drift Ă  Salesforce, tournĂ© les jetons API, lancĂ© une enquĂȘte conjointe avec Salesforce, ajoutĂ© des garde-fous, revĂ©rifiĂ© ses tiers et renforcĂ© l’authentification du support client. Aucune preuve d’abus des donnĂ©es n’a Ă©tĂ© trouvĂ©e Ă  ce stade. ...

2 septembre 2025 Â· 3 min

CVE-2025-54309 : accÚs concurrent sur CrushFTP donnant un accÚs admin, exploitée activement

Source : watchTowr Labs. Contexte : les chercheurs dĂ©crivent comment ils ont observĂ© et reproduit l’exploitation active de CVE-2025-54309 affectant CrushFTP, listĂ©e dans le CISA KEV le 22 juillet 2025, et permettant un accĂšs administrateur via HTTPS lorsque la fonctionnalitĂ© proxy DMZ n’est pas utilisĂ©e. ‱ VulnĂ©rabilitĂ© et impact. La faille touche « CrushFTP 10 avant 10.8.5 » et « 11 avant 11.3.4_23 » et provient d’une mauvaise gestion de la validation AS2. ExploitĂ©e en juillet 2025, elle permet d’obtenir des privilĂšges administrateur (ex. l’utilisateur intĂ©grĂ© crushadmin), entraĂźnant un contrĂŽle total du serveur (crĂ©ation/lecture de fichiers sensibles). Le billet souligne l’ampleur potentielle avec plus de 30 000 instances exposĂ©es. ...

1 septembre 2025 Â· 3 min
Derniùre mise à jour le: 9 juillet 2026 📝