Le jeton a ouvert la porte

Le jeton a ouvert la porte

Les données CRM semblent calmes jusqu'à ce qu'un jeton commence à se déplacer tout seul.

Les équipes commerciales stockent les noms des contacts, les signaux de renouvellement, les notes de pipeline, le contexte d'assistance, l'historique des partenaires, les résumés d'appels, les prix, les notes d'approvisionnement et les objections des acheteurs en un seul endroit. Ce système devient la mémoire des revenus. Lorsqu’une application SaaS connectée bénéficie d’un large accès à cette mémoire, le risque dépasse l’application elle-même.

En juin 2026, The Hacker News a rapporté que Salesforce avait désactivé l'intégration de l'application Klue Battlecards après une activité suspecte de jeton OAuth qui aurait pu permettre un accès non autorisé aux données client via la connexion Klue. Klue a déclaré plus tard avoir découvert une activité non autorisée affectant une partie de son infrastructure d'intégration et qu'un attaquant avait obtenu l'accès via un identifiant hérité compromis connecté à un service d'intégration.

Le point important pour les acheteurs est direct. Les rapports publics ne décrivaient pas de vulnérabilité de la plateforme Salesforce. Ils ont décrit un chemin d'intégration tiers. C’est l’élément qui manque à de nombreuses entreprises lors d’un examen de sécurité.

Une intégration approuvée peut devenir la porte.

Connected infrastructure used for SaaS integration review

Ce que disent les rapports publics

Selon Salesforce, la société a désactivé la connexion entre Klue Battlecards et Salesforce pour protéger les clients après avoir détecté une activité inhabituelle impliquant l'application. Le Hacker News a cité Salesforce affirmant que le problème était limité à la connexion à l'application Klue et ne provenait pas d'une vulnérabilité au sein de Salesforce.

Klue a déclaré que l'incident avait commencé avec un identifiant hérité compromis associé à un service d'intégration. À partir de là, l’attaquant a obtenu des jetons OAuth utilisés pour connecter Klue à des plateformes tierces, dont Salesforce. Klue a déclaré avoir révoqué les informations d'identification et les jetons concernés, supprimé le code non autorisé, arrêté l'accès à distance, désactivé les intégrations potentiellement affectées et lancé une enquête plus large.

Huntress a déclaré que les données copiées à partir de son compte Salesforce comprenaient des contacts professionnels, des devis, ainsi que des données et des messages liés aux ventes. Huntress a également déclaré que les données sur les menaces, les mots de passe, les données de carte de paiement et les données d'ingénierie liées à son agent ou à la télémétrie n'étaient pas affectées. Des rapports ultérieurs ont indiqué que les données connectées à Huntress étaient apparues sur un site de fuite, Huntress confirmant qu'un ensemble de données publié de 3,4 Go était légitime et limité aux données Salesforce CRM.

Datadog Security Labs a décrit ce modèle comme une attaque de chaîne d'approvisionnement Klue contre les instances Salesforce. Son article indique que Klue a alerté les clients le 13 juin 2026, après que les jetons OAuth pour Salesforce et Gong aient déjà été récoltés et que les appels automatisés API aient commencé. ReliaQuest a signalé que l'adversaire s'est authentifié via un compte de service d'intégration Klue compromis, a généré des jetons OAuth, puis a utilisé des scripts automatisés pour interroger les points de terminaison Salesforce REST API pendant près de 24 heures.

Cela suffit pour définir la leçon commerciale. Le risque SaaS réside désormais dans les autorisations tierces, les informations d'identification de service obsolètes, les subventions d'application, les modèles de requête API et la durée de vie des jetons.

Comment le chemin a fonctionné

OAuth est conçu pour permettre à une application d'agir avec autorisation dans une autre. Un utilisateur ou un administrateur accorde l'accès. L'application reçoit des jetons. Ces jetons permettent à l'application d'appeler APIs sans demander de mot de passe à chaque fois.

Cette conception est utile. Cela est également dangereux lorsque le jeton dépasse les besoins réels de l'entreprise, lorsque l'application connectée dispose d'un accès plus large que nécessaire ou lorsque le propriétaire de l'intégration est traité comme à faible risque parce qu'il est familier.

Les reportages publics sur l’affaire Klue mettent en évidence une chaîne familière :

  • Un identifiant hérité connecté à l’infrastructure d’intégration est devenu le premier point d’ancrage.
  • L'attaquant a utilisé cette position pour atteindre les jetons OAuth.
  • Les jetons permettaient d'accéder aux environnements clients connectés.
  • Des scripts automatisés ont interrogé les données Salesforce via des chemins API normaux.
  • L'activité ressemblait à du trafic d'intégration jusqu'à ce que quelqu'un pose la question la plus précise.

C'est pourquoi l'examen OAuth nécessite un état d'esprit différent de l'examen ordinaire des comptes d'utilisateurs. Un utilisateur humain a un titre de poste, un responsable, un modèle de connexion, un appareil et un flux de travail visible. Une application connectée a souvent un large accès, une persistance élevée, une surveillance comportementale limitée et aucun propriétaire naturel quotidien.

Le compte peut rester silencieux pendant des mois, puis devenir le risque le plus important de l'entreprise.

À quoi ressemblent les dégâts

Les rapports publics donnent plusieurs domaines d’impact concrets.

Le premier est l’exposition des données CRM. Les contacts professionnels, les noms, les e-mails, les numéros de téléphone, les adresses, les devis, les informations sur les dossiers d'assistance, les enregistrements de transactions et les messages liés aux ventes peuvent suffire à nuire à une entreprise. Un criminel n’a pas besoin d’une base de données de mots de passe pour causer des dommages. Le contexte CRM peut alimenter le phishing, la fraude aux factures, l’usurpation d’identité de partenaires, la pression des investisseurs, la veille sur les concurrents et l’extorsion.

La seconde est l’exposition à la négociation. Les notes de vente montrent ce qui intéresse les acheteurs. Les notes de tarification montrent une logique de remise. Les enregistrements d'opportunité indiquent le calendrier de renouvellement. Les notes d'assistance montrent de la frustration. Tout cela peut être utilisé pour faire pression sur les employés et les clients avec des messages qui semblent réels.

Le troisième est l’ingénierie sociale de suivi. Si un attaquant connaît le client, le responsable du compte, la date de renouvellement, le problème de l'acheteur et le dernier sujet d'assistance, le prochain e-mail semblera moins aléatoire. Cela peut ressembler à une conversation normale.

Le quatrième est la pression sur la réputation. Une entreprise peut être en mesure de dire que les mots de passe et les cartes de paiement étaient hors de portée, et cela peut être vrai. L'acheteur entend encore un autre message : un connecteur tiers a atteint les données de l'entreprise. Cela suscite des questions de la part des clients, des partenaires, des équipes d’approvisionnement, des assureurs et des dirigeants.

Le cinquième est la dette de preuve. Après un événement symbolique, l’entreprise a besoin de réponses rapides :

  • Quelles applications connectées y avaient accès ?
  • Quels objets ont été interrogés ?
  • Quels champs ont été exportés ?
  • Quels clients ont été touchés ?
  • Quels jetons ont été révoqués ?
  • Quelles intégrations ont été désactivées ?
  • Quels journaux sont conservés ?
  • Quels contrôles empêchent la répétition des activités ?

Si l’entreprise ne peut pas répondre à ces questions, l’incident se poursuit au sein des conversations commerciales et juridiques bien après le confinement technique.

Pourquoi cela effraie les acheteurs sérieux

Ce qui fait peur, c’est la surface ordinaire.

La plupart des environnements SaaS contiennent des années d'applications connectées. Les outils marketing, les outils d'aide à la vente, les outils d'assistance, les outils d'enrichissement, les outils d'analyse, les entrepôts de données, les assistants IA, les enregistreurs d'appels, les connecteurs BI, les outils de sauvegarde, les automatisations low-code et les plateformes d'intégration demandent tous un accès. Beaucoup le reçoivent. Moins nombreux le perdent à la fin du projet initial.

Au fil du temps, le domaine SaaS devient un périmètre fantôme. Le pare-feu peut être puissant. L’AMF peut être forte. Les appareils des employés peuvent être gérés. Néanmoins, un jeton OAuth tiers peut passer par l’entrée latérale car l’entreprise l’a approuvé il y a des mois ou des années.

Les petites entreprises le ressentent à travers la confiance des clients. Un incident peut ralentir les transactions d’une entreprise. Les acheteurs demandent la preuve que les intégrations sont inventoriées, délimitées, surveillées et révoquées lorsqu'elles sont obsolètes.

Les entreprises de taille intermédiaire ressentent cela à travers le frein aux achats. Un partenaire demande la liste des outils SaaS connectés. La sécurité demande des étendues d’accès. Le service juridique demande qui traite quelles données. Le service commercial demande quand la transaction peut être conclue.

Les entreprises le ressentent à travers leur échelle. Des centaines de départements et d'outils créent des milliers de subventions. Une seule intégration faible peut ouvrir la voie à des données que les dirigeants pensaient protégées par la plateforme principale.

Le mot technique est OAuth. Le mot commercial est exposition.

Quelles équipes devraient inspecter maintenant

Commencez par un inventaire complet des applications connectées. Exportez chaque application connectée Salesforce installée, chaque subvention OAuth, chaque utilisateur d'intégration, compte de service, classe de jeton d'actualisation et package géré tiers. Incluez Gong, HubSpot, Slack, Google Workspace, Snowflake, les services d'assistance, les outils d'enrichissement et les outils de flux de travail d'IA lorsqu'ils touchent aux données CRM.

Classez ensuite par rayon d’explosion. Un connecteur capable de lire les comptes, les contacts, les pistes, les opportunités, les requêtes, les objets personnalisés et les pièces jointes appartient au niveau supérieur. Un connecteur avec des jetons d’actualisation et aucun propriétaire actif appartient au niveau supérieur. Un connecteur installé pour un pilote et maintenu en vie appartient au niveau supérieur.

Examinez les étendues. De nombreuses intégrations bénéficient d'un large accès car elles étaient plus faciles lors de la configuration. Cela crée une responsabilité silencieuse. Un outil de revenus a rarement besoin de chaque objet pour toujours. Un outil de reporting a rarement besoin d’un accès en écriture. Une intégration obsolète doit être supprimée.

Passez en revue les jetons et les sessions. La révocation doit être réelle. Une case à cocher dans une console d'administration est plus faible que la preuve que les jetons, les jetons d'actualisation, les sessions et les autorisations d'applications connectées ont été invalidés. Lorsque l'incident implique un fournisseur, demandez-lui ce qu'il a révoqué et ce que vous devez révoquer localement.

Examinez les journaux pour détecter les abus d’apparence normale. Dans le cas de Klue, les rapports décrivaient les requêtes API et les agents utilisateurs automatisés. Une équipe doit rechercher un volume de requêtes inhabituel, des rafales API en dehors des heures d'ouverture, de nouveaux réseaux sources, une énumération d'objets, une pagination en masse et un accès à partir d'une infrastructure qui ne correspond pas à l'empreinte normale du fournisseur.

Consultez les alertes. De nombreux programmes de détection alertent sur les déplacements impossibles pour les employés et ne parviennent pas à alerter sur les comptes d'intégration tirant un catalogue d'objets complet. Cet écart est important. Les comptes d'intégration nécessitent des références de comportement, des seuils de volume de données et des alertes de changement.

Examinez les contrats et les chemins d’incidents. Si un fournisseur détient des jetons OAuth pour votre environnement, votre contrat et votre parcours d'intégration doivent indiquer comment les jetons sont stockés, comment ils sont alternés, comment vous êtes averti, à quelle vitesse ils peuvent être révoqués, quels journaux ils conservent et ce qui se passe lorsque leur propre infrastructure est compromise.

La carte de contrôle que les acheteurs veulent voir

Les acheteurs d'entreprise demandent rarement l'exportation brute complète à partir d'une console de sécurité CRM. Ils demandent une réponse plus simple qui prouve leur maturité. La meilleure réponse comporte cinq parties.

L’inventaire d’accès passe en premier. L'entreprise doit indiquer quelles applications connectées peuvent lire ou écrire des données CRM. La liste doit inclure le propriétaire, le fournisseur, l'objectif commercial, les étendues, les classes de données, la date de la dernière révision et le chemin de suppression.

La discipline de portée vient en deuxième position. Chaque application doit avoir une raison pour chaque autorisation majeure. Des portées plus larges telles que l'accès complet API, l'accès hors ligne, l'accès en écriture, les droits d'exportation et l'accès aux objets personnalisés nécessitent une justification plus solide.

La surveillance vient en troisième position. Un acheteur sérieux veut savoir que l'accès à API est surveillé. L'équipe doit surveiller le volume, la combinaison d'objets, les modèles de requêtes inhabituels, les modifications de source, les modifications d'agent utilisateur et les accès en dehors du modèle de fonctionnement normal du fournisseur.

La préparation à la révocation vient en quatrième position. L'entreprise devrait être en mesure de révoquer rapidement une intégration tierce sans interrompre l'ensemble de l'équipe commerciale. Cela nécessite des propriétaires nommés, des solutions de secours documentées et un processus testé.

Les preuves viennent en cinquième position. Après un examen, l'entreprise doit conserver le dossier. Les captures d'écran, les exportations, les tickets de modification, les requêtes de journal, les enregistrements de révocation de jetons et les notes de nouveau test sont importants car ils raccourcissent les conversations de vente et de diligence.

Cette carte de contrôle fait la différence entre une réponse de sécurité vague et une réponse prête à l'achat.

Les questions que les responsables des revenus devraient se poser

La sécurité CRM appartient au leadership en matière de revenus. Les responsables des revenus doivent comprendre le risque, car les données appartiennent au mouvement de vente.

Demandez quels outils de revenus peuvent lire le pipeline et les contacts. Demandez quels outils peuvent exporter des notes d’opportunité. Demandez si les anciens pilotes y ont toujours accès. Demandez si les assistants IA peuvent voir le contexte sensible de la transaction. Demandez si les intégrations partenaires peuvent lire les pièces jointes. Demandez si chaque intégration a un propriétaire qui travaille toujours dans l'entreprise.

Demandez-vous ce qui se passerait si un fournisseur annonçait aujourd’hui un abus de jetons. Qui désactiverait l’application ? Qui parlerait aux clients ? Qui vérifierait les journaux ? Qui dirait aux ventes quelles transactions étaient affectées ? Qui produirait une réponse claire en matière d’approvisionnement ?

Ces questions sont inconfortables. C'est là le point. Une entreprise devrait ressentir la pression lors d’une répétition plutôt que lors d’un message d’extorsion actif.

Un chemin d'approbation SaaS plus sûr

Les nouveaux outils SaaS doivent franchir une courte barrière de sécurité avant de recevoir un accès CRM.

La porte doit définir le besoin commercial, les données exactes requises, la portée de l'autorisation, la durée de vie du jeton, le modèle de stockage du fournisseur, le chemin de notification des incidents, la journalisation disponible pour le client et le propriétaire au sein de l'entreprise.

La porte doit également définir une sortie. Chaque intégration nécessite une date de suppression ou une date de révision. Chaque pilote a besoin d’un nettoyage automatique. Chaque changement de fournisseur doit être revalidé. Chaque autorisation à haut risque nécessite une deuxième personne pour l’approuver.

Cette porte n’a pas besoin de ralentir l’activité. Cela devrait accélérer l’activité en évitant toute confusion future. Un outil de vente dont l'approbation prend deux jours supplémentaires est moins cher qu'un outil de vente qui crée deux mois d'inquiétude pour l'acheteur.

Pour les outils de revenus connectés à l’IA, le même chemin devient plus strict. Si l'outil peut lire les transcriptions d'appels, les notes CRM, l'historique de l'assistance ou les objections des acheteurs, il gère la mémoire commerciale sensible. Il mérite des règles de surveillance et de suppression dès le premier jour.

Quelle certification devrait couvrir

Pour un contour d'intégration SaaS et CRM, StOFU Security Certification peut nommer la portée exacte. Cette portée peut inclure les applications connectées Salesforce, les comptes de service, les subventions OAuth, les outils de revenus tiers, les assistants IA touchant les données CRM, les chemins d'exportation, les règles de surveillance et les preuves de révocation.

Le certificat ne doit pas prétendre que tous les fournisseurs dans le monde sont en sécurité. Il doit indiquer ce qui a été examiné, quels risques ont été trouvés, quels correctifs ont été vérifiés et combien de temps le résultat peut être utilisé. Pour de nombreux contours SaaS, une période de validité allant jusqu'à 12 mois est pratique lorsque des modifications importantes déclenchent un examen plus précoce. Un nouveau fournisseur à haut risque, un changement majeur d'autorisation CRM, un nouveau flux de travail d'IA ou un changement de modèle de données devraient rouvrir le contour plus tôt.

C’est ainsi que la certification devient utile. Cela crée une réponse vivante. L'entreprise peut montrer aux clients et aux investisseurs que le chemin des données sur les revenus a été révisé, que les accès obsolètes ont été supprimés, que les portées dangereuses ont été réduites et que l'abus de jetons est surveillé.

Comment SToFU combat cette classe de risque

SToFU traite les intégrations SaaS dans le cadre du contour de sécurité. L'examen ne s'arrête pas au code de l'application ou au compte cloud. Il inclut les chemins par lesquels les données commerciales transitent via des outils tiers, des comptes de service, des clients API, des jetons, des automatisations et des flux de travail assistés par l'IA.

Pour cette classe de risque, nous nous concentrons sur cinq résultats.

Tout d’abord, nous construisons une carte d’accès connecté. La carte montre quels outils peuvent atteindre quels systèmes, quelles portées ils détiennent, quelles classes de données ils touchent et quel propriétaire peut justifier l'accès.

Deuxièmement, nous examinons la posture des jetons et de l’identité. Cela inclut les étendues OAuth, le comportement des jetons d'actualisation, les règles d'approbation des applications, la conception des comptes de service, la propriété des identités non humaines, l'accès conditionnel, les modèles de source de fournisseur et les workflows de révocation.

Troisièmement, nous testons les chemins d’abus. Un examen utile demande ce qu'un criminel pourrait interroger avec un jeton, quelles données seraient utiles à l'extorsion, à quelle vitesse elles pourraient être extraites, quels journaux les afficheraient et quelles alertes seraient déclenchées.

Quatrièmement, nous sommes en faveur de mesures correctives. Cela peut impliquer de réduire les portées, de supprimer les applications obsolètes, de diviser les comptes d'intégration, d'ajouter des alertes, de renforcer les approbations, de forcer la rotation des jetons, d'exiger des preuves plus solides du fournisseur ou d'ajouter des garde-fous autour des exportations CRM.

Cinquièmement, nous vérifions la fermeture. Lorsque les résultats sont corrigés, nous retestons. Si le contour est suffisamment clair pour un examen par un acheteur, un investisseur, un partenaire ou un approvisionnement, nous pouvons délivrer une certification de sécurité StOFU avec la portée examinée, les preuves de remédiation, la date d'examen et la période de validité.

Le certificat est important car les acheteurs ont besoin d'un artefact clair. Ils doivent savoir ce qui a été examiné, quels risques ont été clôturés et combien de temps la réponse peut être utilisée.

Un plan de réponse pratique

Si votre entreprise utilise Salesforce, Gong, HubSpot ou des systèmes de revenus similaires, agissez dans l'ordre.

Inventaire d’abord. Répertoriez chaque application et compte de service connectés. Attribuez un propriétaire. Supprimez tout ce qui n'a aucun propriétaire.

Réduisez l’accès en second lieu. Réduisez les portées au minimum nécessaire pour le flux de travail. Séparez l’accès en lecture de l’accès en écriture. Supprimez les anciens pilotes, les fournisseurs inactifs et les automatisations oubliées.

Révoquer et faire pivoter le troisième. Faites pivoter les intégrations à haut risque. Révoquez les jetons d’actualisation obsolètes. Confirmez que le côté du fournisseur et votre côté ont tous deux changé.

Chassez le quatrième. Recherchez dans les journaux API l'énumération du catalogue d'objets, les requêtes à volume élevé, la pagination inhabituelle, les agents utilisateurs suspects, les exportations en dehors des heures d'ouverture, les réseaux sources étranges et l'accès aux objets personnalisés sensibles.

Ajoutez la cinquième preuve. Conservez les exportations, les horodatages, les captures d'écran, les modifications de règles, les requêtes de journal et les notes de clôture. Les preuves deviennent utiles lors des questions des clients et de l’examen de l’assurance.

Certifiez sixième. Un résultat propre n’a de valeur commerciale que s’il peut être démontré. La certification de sécurité transforme la clôture technique en un artefact de décision.

La question de l'acheteur

Le prochain repreneur d’entreprise posera une question plus précise. Ils vous demanderont comment votre entreprise contrôle l'accès des tiers aux données de l'entreprise. Ils demanderont à quelle vitesse les intégrations obsolètes seront supprimées. Ils demanderont si les comptes de service sont surveillés. Ils vous demanderont si votre CRM peut être interrogé à grande échelle sans que personne ne s'en aperçoive.

Ces questions sont justes.

L’entreprise qui peut y répondre gagne en rapidité. L'entreprise qui ne peut pas y répondre paie avec retard.

Le cas Klue et Salesforce est un signal. Les jetons font désormais partie de la surface d'attaque. Les intégrations SaaS font désormais partie du périmètre. Les examens de sécurité doivent prouver que les systèmes d'entreprise contenant des données sur les revenus sont contrôlés, surveillés et prêts à être examinés.

SToFU aide les entreprises à concrétiser cette preuve.

Sources

Philip P.

Philip P., CTO

Articles connexes

La chaîne de construction a clignoté

La chaîne de construction a clignoté

Une note de sécurité détaillée sur l'attaque de la chaîne d'approvisionnement TanStack, l'exposition CI/CD, les points de terminaison des

Le VPN est devenu la porte d'entrée

Le VPN est devenu la porte d'entrée

Une note de cas de sécurité pratique sur la faille Check Point VPN, l'exposition à l'accès à distance, le risque de ransomware et la manière dont

La porte de l’ERP est restée ouverte

La porte de l’ERP est restée ouverte

Une note de sécurité détaillée sur l'exploitation du jour zéro d'Oracle PeopleSoft, l'exposition à l'ERP, les preuves d'incident, la correction et la

Retour aux blogs

Contact

Démarrer la conversation

Quelques lignes claires suffisent. Décrivez le système, la pression, la décision qui est bloquée. Ou écrivez directement à midgard@stofu.io.

0 / 10000
Aucun fichier choisi

Vous préférez plutôt un appel ?