OAuth

Selon BleepingComputer, une nouvelle technique de phishing baptisée « CoPhish » exploite des agents Microsoft Copilot Studio pour délivrer des demandes de consentement OAuth frauduleuses en s’appuyant sur des domaines Microsoft légitimes et de confiance. Cette approche arme des agents Copilot Studio comme canal de diffusion, donnant à la demande d’autorisation une apparence officielle. L’attaque cible spécifiquement le flux de consentement OAuth, où l’utilisateur est incité à valider une autorisation trompeuse. ...

Selon BleepingComputer, une nouvelle technique de phishing baptisée « CoPhish » a été observée. Cette méthode arme des agents Microsoft Copilot Studio pour envoyer des demandes de consentement OAuth frauduleuses, en passant par des domaines Microsoft légitimes et de confiance. 🎯 L’objectif est de faire parvenir des requêtes d’autorisation OAuth qui paraissent légitimes, car servies depuis des domaines Microsoft reconnus. TTPs observés: Phishing Abus d’agents Microsoft Copilot Studio Fraude au consentement OAuth (OAuth consent phishing) Utilisation de domaines Microsoft légitimes pour la livraison Il s’agit d’un article de presse spécialisé visant à informer sur l’émergence de cette nouvelle technique de phishing. ...

Source: Daily Dark Web (dailydarkweb.net), 3 octobre 2025. Contexte: une nouvelle alliance de cybercriminels — regroupant ShinyHunters, Scattered Spider et LAPSUS$ — a mis en ligne un site d’extorsion visant Salesforce, avec une menace de divulguer près d’un milliard d’enregistrements si une rançon n’est pas payée avant le 10 octobre 2025. L’article décrit une campagne coordonnée mi-2025 contre des clients de Salesforce qui n’exploite pas de faille du cœur de la plateforme, mais repose sur de la social engineering avancée, notamment du vishing (usurpation d’équipes IT/Help Desk par téléphone) pour faire approuver des applications tierces malveillantes dans les environnements Salesforce des victimes. ...

Source: FBI (FLASH-20250912-001), coordonné avec DHS/CISA; TLP:CLEAR. Contexte: alerte du 12 septembre 2025 détaillant des campagnes de vol de données et d’extorsion ciblant les plateformes Salesforce par les groupes UNC6040 et UNC6395. – Aperçu général Les groupes criminels UNC6040 et UNC6395 mènent des intrusions contre des instances Salesforce par des mécanismes d’accès initiaux distincts. Les actions observées incluent le vol massif de données via API, l’autorisation frauduleuse d’applications connectées (OAuth) et des demandes d’extorsion (notamment associées à « ShinyHunters » après les exfiltrations de UNC6040). L’alerte vise à maximiser la sensibilisation et fournit des IOCs et des mesures recommandées. 🚨 ...

Selon Varonis (référence citée), Salesforce introduit une nouvelle fonctionnalité d’API Access Control visant à contrer les attaques de phishing OAuth en imposant une pré-approbation administrative des applications connectées. Cette évolution marque un passage d’une posture réactive à une gouvernance proactive de la sécurité SaaS. Au niveau opérationnel, la fonction bloque par défaut les applications non gérées 🚫, applique des restrictions d’accès au niveau utilisateur (principe du moindre privilège) et instaure des processus manuels de validation de confiance. L’objectif est de réduire la surface d’attaque en contrôlant quelles applications peuvent se connecter à l’environnement Salesforce et en limitant finement les permissions. ...

Selon Unit 42 (Palo Alto Networks), cet article examine les risques critiques liés aux tokens OAuth mal gérés dans les environnements cloud, en s’appuyant sur des cas récents comme l’incident Salesloft Drift. L’analyse montre que des tokens OAuth compromis peuvent contourner les défenses traditionnelles et faciliter des attaques de supply chain via des intégrations tierces. Les usages malveillants de ces tokens permettent un accès persistant et silencieux aux ressources cloud, en dehors des contrôles classiques. 🔐🔗 ...

Source: BleepingComputer (Sergiu Gatlan). L’article rapporte que Workiva a informé ses clients d’un vol de données limité via un CRM tiers, incident qui s’inscrit dans la récente série de brèches Salesforce attribuées au groupe d’extorsion ShinyHunters. • Données touchées chez Workiva: noms, adresses e‑mail, numéros de téléphone et contenus de tickets de support. Workiva précise que sa plateforme et les données qu’elle héberge n’ont pas été accédées et que l’accès est venu via une application tierce connectée. L’entreprise met en garde contre un risque de spear‑phishing et rappelle ses canaux officiels de contact. ...

Source : Varonis — Analyse d’une attaque supply chain où des tokens OAuth liés aux intégrations Salesloft et Drift ont été détournés pour accéder à des environnements Salesforce de plusieurs organisations, dont Zscaler et Palo Alto Networks. 🚨 Les assaillants ont exploité des connexions tierces de confiance pour mener une attaque de chaîne d’approvisionnement. En détournant des tokens OAuth associés aux intégrations Salesloft et Drift, ils ont accédé à des environnements Salesforce via des appels API légitimes, ce qui a contourné les contrôles traditionnels et élargi le périmètre et le blast radius. L’incident illustre la nécessité d’une approche plus data-first avec une gouvernance renforcée des applications OAuth et une surveillance en temps réel. ...

Source: Help Net Security (Zeljka Zorz), article du 2 septembre 2025. Contexte: la plateforme Salesloft (et son agent IA Drift) a subi une compromission d’intégrations OAuth, avec des impacts en chaîne sur Salesforce et Google Workspace. — Ce qui s’est passé Des attaquants ont utilisé des jetons OAuth compromis pour l’intégration Drift–Salesforce entre le 8 et le 18 août 2025 afin d’exfiltrer des données de certaines instances clients Salesforce. Le 28 août, le Google Threat Intelligence Group (GTIG) a confirmé la compromission de jetons OAuth pour l’intégration “Drift Email”. Le 9 août, un acteur a utilisé ces jetons pour accéder aux emails d’un très petit nombre de comptes Google Workspace. — Impact et cibles ...

Selon BleepingComputer, Palo Alto Networks a confirmé avoir été victime d’une fuite de données via des tokens OAuth compromis provenant de l’incident Salesloft Drift, permettant à des attaquants d’accéder à son instance Salesforce. L’entreprise précise que l’impact est limité à son CRM Salesforce et n’affecte aucun produit, système ou service. L’attaque, suivie par Google Threat Intelligence sous le nom UNC6395, a exploité des tokens OAuth volés pour réaliser une exfiltration de masse de données depuis les objets Salesforce Account, Contact, Case et Opportunity. Les acteurs ont utilisé des outils automatisés (user-agents observés: python-requests/2.32.4, Python/3.11 aiohttp/3.12.15, Salesforce-Multi-Org-Fetcher/1.0, Salesforce-CLI/1.0), ont supprimé des logs/queries pour masquer leurs traces et ont recouru à Tor pour obfusquer leur origine. ...