ANAVEM
EN
Multiple computer screens showing Salesforce security warnings in dark operations center
ÉlevéCyberattaques

Salesforce sous attaque : scan massif des instances mal configurées pour vol de données clients

Des acteurs malveillants mènent depuis le 10 mars 2026 une campagne de balayage massif d'instances Salesforce, ciblant spécifiquement les paramètres d'utilisateur invité mal configurés sur Experience Cloud pour exfiltrer des données clients sensibles. Salesforce a confirmé ces intrusions et alerté ses clients.

Emanuel DE ALMEIDA 10 mars 2026, 22:05 2 min de lecture 0 vues 0 Commentaires

Dernière mise à jour 11 mars 2026, 02:24

Points Clés

  • Menace : Campagne de balayage massif ciblant les configurations des utilisateurs invités de Salesforce
  • Impact : Données sensibles des clients exposées en raison de paramètres trop permissifs
  • Cible : Clients Salesforce avec des contrôles d'accès tiers mal configurés
  • Statut : Campagne de balayage active détectée par des chercheurs en sécurité

Les attaquants ciblent les mauvaises configurations des utilisateurs invités de Salesforce

Des acteurs malveillants ont lancé une campagne de balayage massif ciblant les instances Salesforce avec des paramètres d'utilisateur invité mal configurés le 10 mars 2026. Les attaquants sondent systématiquement les configurations trop permissives qui permettent un accès non autorisé à des données sensibles des clients.

Les chercheurs en sécurité ont détecté l'activité de balayage coordonnée à travers plusieurs déploiements Salesforce. The Hacker News a rapporté que les attaquants ciblent spécifiquement les configurations d'utilisateur invité conçues pour un accès légitime de tiers mais mal sécurisées par les administrateurs.

Les clients Salesforce avec accès utilisateur invité à risque

La campagne affecte les clients Salesforce qui ont activé la fonctionnalité d'utilisateur invité pour des partenaires ou fournisseurs externes. Les organisations utilisant Salesforce Communities, Experience Cloud ou des portails personnalisés avec accès invité sont les plus à risque.

Les entreprises qui n'ont pas correctement restreint les permissions des utilisateurs invités ou mis en œuvre des contrôles d'accès adéquats sont particulièrement vulnérables. Les paramètres mal configurés permettent aux attaquants d'accéder à des données destinées uniquement aux utilisateurs authentifiés ou à des organisations partenaires spécifiques.

Technique de balayage massif exploitant les faiblesses de configuration

Les attaquants utilisent des outils automatisés pour identifier les instances Salesforce avec des points d'accès utilisateur invité exposés. Ils sondent les mauvaises configurations courantes, y compris des permissions d'accès aux données trop larges et des exigences d'authentification insuffisantes.

La campagne de balayage cible les sites et communautés Salesforce accessibles au public. Les attaquants recherchent des configurations d'utilisateur invité qui accordent l'accès à des enregistrements sensibles, des objets personnalisés ou des fonctions administratives sans restrictions appropriées.

Questions Fréquentes

Comment sécuriser les configurations des utilisateurs invités de Salesforce ?
Examiner les autorisations des utilisateurs invités, mettre en œuvre un accès au moindre privilège, activer une authentification appropriée et auditer régulièrement les paramètres d'accès des tiers dans votre organisation Salesforce.
Quels produits Salesforce sont affectés par cette campagne de balayage ?
Les communautés Salesforce, Experience Cloud et les portails personnalisés avec accès utilisateur invité sont les principales cibles des attaques de balayage massif.
Comment puis-je détecter si mon organisation Salesforce a été scannée ?
Surveillez les journaux de connexion pour détecter une activité inhabituelle des utilisateurs invités, vérifiez les tentatives d'authentification échouées et examinez les schémas d'accès aux objets de données sensibles.
#salesforce-security#guest-user-config#mass-scanning

À propos de l'auteur

Emanuel DE ALMEIDA

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...

Tutoriels Associes

Approfondissez ce sujet avec nos guides pas a pas

IT administrator configuring USB blocking policies in Microsoft Intune admin center
Intermediaire
Cybersecurity

Comment bloquer les lecteurs USB à l'aide des politiques de réduction de la surface d'attaque de Microsoft Intune

Configurez les stratégies de réduction de la surface d'attaque de Microsoft Intune pour empêcher l'accès aux lecteurs USB sur les appareils Windows 10/11, protégeant contre les violations de données et les menaces de logiciels malveillants grâce aux restrictions de stockage amovible.

10 etapes
IT administrator configuring Windows LAPS with Microsoft Intune on multiple monitors
Intermediaire
Cybersecurity

Comment configurer Windows LAPS avec Microsoft Intune pour une sécurité renforcée

Configurer la solution de mot de passe administrateur local Windows (LAPS) avec Microsoft Intune pour gérer et sécuriser automatiquement les mots de passe administrateur local sur les appareils Windows de votre organisation.

6 etapes
IT administrator managing Windows 11 devices through Microsoft Intune admin center
Intermediaire
Cloud Computing

Comment supprimer l'icône météo de la barre des tâches de Windows 11 à l'aide de Microsoft Intune

Créer et déployer une stratégie de configuration Intune pour désactiver le widget météo des barres des tâches Windows 11 sur les appareils de l'entreprise. Processus complet de la création de la stratégie au suivi du déploiement.

8 etapes
Tous les Tutoriels

Intelligence Liée

Corrupted ZIP files with malicious code emerging on computer screen
Moyen
Logiciel malveillant

Zombie ZIP : comment des archives malformées permettent aux malwares d’échapper aux antivirus et EDR

10 mars, 21:055 min
BeatBanker Android : fausse appli Starlink sur Google Play vole vos identifiants bancaires
Eleve
Logiciel malveillant

BeatBanker Android : fausse appli Starlink sur Google Play vole vos identifiants bancaires

10 mars, 22:272 min
Cybersecurity threat visualization showing compromised network infrastructure with warning indicators
Eleve
Logiciel malveillant

BlackSanta EDR Killer : les hackers russes désactivent les outils de sécurité des entreprises via les RH

10 mars, 23:572 min
Cybersecurity analysts monitoring Lazarus Group ransomware campaign on multiple screens
Eleve
Cyberattaques

Lazarus Group : la Corée du Nord déploie Medusa ransomware et backdoors dans ses cyberattaques mondiales

24 févr., 22:182 min