Sur la période d’avril-octobre 2020, les chercheurs F-Secure Labs ont étudié les contenus dangereux détectés par la solution Cloud Protection for Salesforce : sur 7 948 contenus malveillants scannés auprès de 799 organisations, 85% du code malicieux provenait d’URLs corrompues et 15% de fichiers PDF, de macros Excel et de fichiers texte.
Ils ont également constaté une augmentation du nombre d’attaques sur les services tels que Salesforce Sales Cloud, Service Cloud et/ou Experience Cloud.
Voici les menaces les plus courantes :
- Les logiciels malveillants et les ransomwares
Des fichiers et des URLs malveillants peuvent être téléchargés sur la plateforme Salesforce via un portail communautaire, une conversation dans Chatter ou dans Web Chat, un formulaire de demande d’assistance en ligne, ou en pièce jointe dans un « Email-to-Case » ou un « Email-to-Chatter ». Le téléchargement depuis n’importe quel appareil non protégé ou non géré constitue une menace supplémentaire.
- Les exploits zero-day
Les pirates informatiques peuvent mener des attaques sans fichier en utilisant des exploits zero-day, en convaincant par exemple les utilisateurs finaux d’ouvrir un document Office, un fichier image ou en cliquant sur un lien dans Salesforce. De tels exploits sont souvent utilisés lors d’attaques ciblées pour prendre plus largement le contrôle des systèmes d’une organisation et peuvent être extrêmement dommageables et difficiles à détecter.
- Le phishing
Les URLs utilisées dans les attaques de phishing peuvent être publiées ou partagées sur des forums, des messages / commentaires dans Chatter, messages Email-to-Case et dans des discussions Web Chat. Les solutions traditionnelles de sécurité de passerelle ou de messagerie ne bloquent pas ces attaques si des liens malveillants sont ouverts directement depuis Salesforce à partir d’appareils non protégés ou non gérés.
- Les contenus non sollicités et inappropriés
Salesforce peut être utilisé pour diffuser des spams et d’autres contenus non sollicités qui peuvent être contraires aux engagements ou aux règlements d’une organisation, non conformes aux normes en vigueur ou tout simplement illégaux : fichiers potentiellement dangereux, fichiers multimédias volumineux, contenus offensants, URL pointant vers des contenus de jeux d’argent, des contenus pornographiques, etc.
- Les attaques de la supply chain
Salesforce permet à d’autres services cloud et systèmes externes de se connecter à la plateforme via les API SOAP ou REST. Cela permet aux attaquants de diffuser des fichiers et des URLs malveillants sur Salesforce via des applications et des services tiers compromis dans la chaîne d’approvisionnement, que votre organisation ne peut contrôler ni surveiller.
- Les APT (Advanced Persistent Threats)
Les cybercriminels abusent de plus en plus de Salesforce pour mener des attaques en plusieurs étapes dans la durée. Par exemple, Salesforce peut être utilisé comme un serveur C&C (Command and Control) qui stocke et distribue les charges utiles des logiciels malveillants ou des logiciels espions déjà installés sur un appareil compromis à l’intérieur d’une organisation.
- Les menaces internes malveillantes
Toutes les attaques Salesforce ne proviennent pas de l’extérieur. Les menaces internes sont également un sujet de préoccupation important. Par exemple, les employés mécontents ayant accès à Salesforce peuvent diffuser du contenu préjudiciable ou interdit qui pourrait nuire à la réputation de l’entreprise, en particulier s’il est envoyé à des utilisateurs externes.
Catégories