Selon Specops Software, plusieurs organisations de premier plan, dont Chanel, Google, Air France et KLM, ont subi des fuites de données via des plateformes CRM tierces, principalement des instances Salesforce. Les attaquants ont mené une campagne de vishing et d’ingénierie sociale ciblant les équipes de help desk, obtenant des accès OAuth/connected-app pour exfiltrer des enregistrements de service client.
Les données compromises comprennent des noms, coordonnées, identifiants de fidélité et des correspondances de service. L’accès non autorisé a été obtenu par abus d’autorisations excessives accordées à des tiers et par des contrôles d’authentification jugés faibles, facilitant l’exploitation des environnements Salesforce ciblés.
L’analyse met en évidence des faiblesses de gouvernance du risque fournisseur, des permissions OAuth trop larges, et une surveillance insuffisante des accès des prestataires. Ces lacunes ont permis des exports de données inhabituels sans détection suffisante.
Des mesures techniques proposées incluent l’application de scopes OAuth stricts, la mise en place de politiques d’accès conditionnel, et le déploiement de détection d’anomalies pour repérer les activités d’export de données anormales.
TTPs observées:
- Vishing et ingénierie sociale ciblant le help desk
- Obtention/abus d’accès via OAuth et connected apps
- Exfiltration d’enregistrements de service client
- Exploitation de permissions tierces excessives et de contrôles d’authentification faibles
- Manque de monitoring sur les accès fournisseurs
Il s’agit d’une analyse de gouvernance et technique visant à décrire les incidents, leurs causes et les mesures de mitigation proposées.
🧠 TTPs et IOCs détectés
TTPs
[‘Vishing et ingénierie sociale ciblant le help desk’, ‘Obtention/abus d’accès via OAuth et connected apps’, ‘Exfiltration d’enregistrements de service client’, ‘Exploitation de permissions tierces excessives et de contrôles d’authentification faibles’, ‘Manque de monitoring sur les accès fournisseurs’]
🔗 Source originale : https://specopssoft.com/blog/third-party-breaches-google-chanel-air-france-klm/