SaaS

🏛️ Contexte Alerte de sécurité AL26-010 publiée le 1er mai 2026 par le Centre canadien pour la cybersécurité (CCCS). Elle s’adresse aux professionnels TI et gestionnaires. Elle documente des cyberactivités malveillantes continues à motivation financière observées depuis mi-2025, avec une évolution marquée vers l’ingénierie sociale ciblant les plateformes SaaS et de gestion des identités d’entreprise. 🎯 Vecteurs d’accès initial Les campagnes n’exploitent pas de vulnérabilités logicielles mais reposent sur : Hameçonnage vocal (vishing) : usurpation d’identité de personnel IT ou de fournisseurs de confiance pour inciter les employés à s’authentifier sur des portails contrôlés par l’attaquant ou à modifier leur AMF Collecte de justificatifs et interception d’AMF : pages de phishing usurpant des marques, utilisation de cadriciels AiTM (Adversary-in-the-Middle) pour capturer des sessions SSO valides en temps réel Usurpation de sous-domaines : recours à des sous-domaines imitant les portails SSO (ex. <organization>sso[.]com) pour contourner les contrôles de réputation de domaines Abus des processus de service d’assistance : manipulation du personnel de support pour réinitialiser l’AMF ou inscrire des dispositifs contrôlés par l’attaquant Compromission de la chaîne d’approvisionnement SaaS : vol de jetons OAuth de rafraîchissement depuis des fournisseurs tiers compromis pour accéder aux systèmes clients sans déclencher l’AMF 🔍 Indicateurs clés observés Création de jetons OAuth lors d’appels suspects Connexions d’applications génériques (ex. « Outil de soutien », « Chargeur de données ») Sessions concurrentes depuis des IP ou régions différentes en quelques minutes Utilisation de jetons depuis des adresses IP étrangères, VPN ou nœuds Tor dans les secondes suivant leur création Absence de défi AMF dans les journaux d’authentification Hausse soudaine de requêtes API REST ciblant des objets à forte valeur (comptes, contacts, dossiers) Requêtes SELECT * sur des tables entières rarement consultées 💥 Activité post-compromission Déplacement latéral entre applications SaaS (messagerie, GRC, RH, référentiels documentaires) via SSO Exfiltration massive de données via API et fonctions d’export légitimes Exploitation d’intégrations SaaS tierces et de jetons stockés pour accéder aux systèmes en aval Campagnes d’extorsion avec menace de publication ou vente des données sur des sites de fuites ou forums clandestins Absence de déploiement de maliciels, rendant la détection par les outils endpoint conventionnels inefficace 📌 Type et portée Il s’agit d’une alerte de sécurité officielle émise par une autorité nationale de cybersécurité canadienne. Elle vise à sensibiliser les organisations aux tactiques d’acteurs cybercriminels à motivation financière et à fournir des indicateurs de détection exploitables pour les équipes SOC et CTI. ...

Source et contexte: Privatim (association des préposés suisses à la protection des données) publie une prise de position sur l’usage de solutions SaaS par les organes publics suisses, alors que le recours aux clouds publics et aux hyperscalers s’intensifie. Privatim rappelle la responsabilité particulière des autorités en matière de protection des données et de sécurité de l’information et exige une analyse de risques au cas par cas avant toute externalisation vers le cloud ☁️. ...

Selon BleepingComputer, Adobe a averti ses clients Analytics qu’un bug d’ingestion a provoqué l’apparition de données d’organisations dans les instances d’analyse d’autres clients pendant environ une journée. ⚠️ L’incident concerne le service Adobe Analytics et résulte d’un problème d’ingestion de données, entraînant une exposition inter-clients (données d’une organisation visibles dans l’instance d’une autre). • Périmètre: clients d’Adobe Analytics. • Nature: mélange de données entre locataires dû à un bug d’ingestion. • Durée: environ un jour. ...

Selon BleepingComputer, Workiva, fournisseur SaaS cloud, a averti ses clients que des attaquants ayant obtenu un accès à un système de gestion de la relation client (CRM) tiers ont dérobé certaines de leurs données. ⚠️ Faits clés Type d’incident : accès non autorisé via un prestataire tiers (CRM) Impact : vol de certaines données clients Acteur/Surface affectée : clients de Workiva via un CRM externe Portée et éléments concernés Écosystème touché : SaaS Workiva en lien avec un CRM tiers. Détails opérationnels (fournisseur précis, volume de données, chronologie) : non communiqués dans l’extrait. IOCs et TTPs ...