Cloudflare a révélé qu’un piratage lié à l’éditeur Salesloft Drift a compromis son environnement Salesforce, exposant certaines données de support client. L’attaque, menée par un groupe identifié sous le nom GRUB1, a permis à des cybercriminels d’accéder aux tickets clients échangés avec l’entreprise entre le 12 et le 17 août 2025.
Des données sensibles exposées
Les pirates n’ont pas touché directement aux infrastructures de Cloudflare. Mais via les intégrations de Drift, ils ont pu accéder aux champs texte des tickets Salesforce. Or, ces tickets contiennent souvent des informations critiques :
- coordonnées de contact,
- détails de configuration,
- logs techniques,
- et parfois même des clés API, tokens ou mots de passe fournis par les clients dans un contexte de dépannage.
Cloudflare a confirmé avoir retrouvé 104 tokens API valides dans les données compromises. Tous ont été révoqués par précaution, même si aucun usage malveillant n’a été détecté jusqu’ici.
Une attaque par la chaîne d’approvisionnement
L’intrusion s’inscrit dans une attaque de type supply chain, ciblant non pas Cloudflare directement, mais un prestataire tiers. En compromettant les identifiants OAuth du chatbot Salesloft Drift, les attaquants ont pu extraire les données de Salesforce utilisées par des centaines d’entreprises clientes de Salesloft, dont Cloudflare.
GRUB1 a méthodiquement préparé son attaque :
- 9 août : premiers signes de reconnaissance via des outils de scan
- 12-14 août : exploration et cartographie de l’environnement Salesforce,
- 16 août : préparation technique,
- 17 août : exfiltration massive des tickets en moins de cinq minutes via l’API Bulk Salesforce, suivie d’une tentative d’effacement des traces.
Une riposte d’urgence
Dès la notification reçue le 23 août, Cloudflare a lancé une réponse de crise :
- désactivation immédiate de l’intégration Drift,
- rotation de tous les secrets et tokens liés,
- purge de l’ensemble des extensions Salesloft de ses systèmes,
- notification des clients affectés le 2 septembre.
La firme a reconnu sa responsabilité dans le choix de ses outils tiers :
« Ce piratage a déçu nos clients. Nous en assumons la responsabilité et nous en excusons », a déclaré l’équipe sécurité.
Un signal d’alarme pour tout le secteur
Cet incident souligne les risques systémiques liés aux intégrations SaaS : une faille dans un seul prestataire peut contaminer des centaines d’entreprises. Cloudflare recommande désormais à tous les acteurs :
- de désactiver Salesloft Drift,
- de faire tourner régulièrement leurs identifiants (API keys, tokens),
- de réviser les tickets de support susceptibles de contenir des informations sensibles,
- et de renforcer les contrôles sur les applications tierces (principe du moindre privilège, restrictions IP, monitoring renforcé).
Conclusion
Le piratage de Cloudflare rappelle une vérité dure : la sécurité d’une entreprise ne dépend plus seulement de ses propres défenses, mais aussi de celles de toute la galaxie d’outils tiers qu’elle utilise. Ici, c’est un simple chatbot d’assistance qui a ouvert la porte à des données critiques. Une alerte pour tout l’écosystème numérique, déjà fragilisé par la multiplication des intégrations SaaS.
