Imaginez ouvrir votre boîte mail un jeudi matin et découvrir que les données clients de votre startup, celles que vous avez mis des années à collecter, sont désormais entre les mains de cybercriminels notoires. Ce n’est plus de la science-fiction : c’est exactement ce qui vient d’arriver à plus de 200 entreprises à cause d’une faille chez Gainsight, un outil pourtant plébiscité par les équipes Customer Success.
Google Threat Intelligence l’a confirmé noir sur blanc : on parle d’une des plus grosses attaques supply chain de l’année 2025. Et derrière ? Le collectif Scattered Lapsus$ Hunters, mélange explosif de ShinyHunters, Scattered Spider et anciens de Lapsus$. Retour complet sur ce qui s’est passé, comment, et surtout ce que ça implique pour vous, entrepreneur ou responsable tech.
Comment tout a commencé : l’effet domino Salesloft → Gainsight → Salesforce
Tout part d’une campagne précédente, presque oubliée, contre Salesloft et son produit Drift (le chatbot conversationnel ultra-populaire). Les hackers avaient réussi à voler des tokens d’authentification Drift chez des centaines de clients. Parmi eux ? Gainsight lui-même.
Avec ces tokens, les attaquants ont pu se connecter aux instances Salesforce de Gainsight… et par ricochet à celles de tous les clients de Gainsight. Résultat : un accès direct aux données CRM de plus de 200 organisations. Un véritable effet domino parfaitement maîtrisé.
« Gainsight était client de Salesloft Drift, ils ont été touchés et donc entièrement compromis par nous »
– Un porte-parole de ShinyHunters à TechCrunch
Qui sont les victimes (connues ou présumées) ?
Le groupe a publié une liste impressionnante sur Telegram. Voici les noms qui circulent :
- Atlassian
- CrowdStrike
- DocuSign
- F5
- GitLab
- Malwarebytes
- SonicWall
- Thomson Reuters
- Verizon
À l’heure où nous écrivons, certaines entreprises démentent (CrowdStrike parle d’un insider licencié mais nie tout vol de données clients), d’autres restent silencieuses, et quelques-unes comme DocuSign ont immédiatement coupé toutes les intégrations Gainsight par précaution.
Pourquoi cette attaque est particulièrement vicieuse
Ce n’est pas une vulnéra 0-day spectaculaire. C’est du social engineering + vol de tokens + mauvaise hygiène d’intégration SaaS. En clair : les méthodes préférées de Scattered Spider depuis 2023.
Leur force ? Ils ne cherchent pas forcément la faille technique la plus complexe. Ils exploitent la confiance aveugle qu’on accorde aux outils tiers et la fatigue des équipes IT qui valident des scopes d’accès trop larges.
Résultat : une attaque quasi-silencieuse, sans alerte de sécurité Salesforce (qui a d’ailleurs précisé qu’aucune vulnérabilité de sa plateforme n’était en cause).
Les conséquences business que personne ne dit assez fort
Si vos données clients (noms, emails, historique d’achat, notes internes, churn risk score, etc.) sont entre les mains de ShinyHunters, voici ce qui vous attend :
- Campagne d’extorsion dédiée (ils ont annoncé un site pour la semaine prochaine)
- Fuites publiques si vous ne payez pas
- Obligation légale de notification (RGPD, CCPA…) → coût et perte de confiance
- Risque de phishing ultra-ciblé contre vos propres clients
- Impact direct sur votre valuation si vous êtes en levée
On l’a vu avec les fuites Snowflake l’an dernier : même si vous n’êtes pas directement responsable, le marché sanctionne.
Leçons immédiates pour votre stack SaaS
Voici la checklist que tout fondateur ou CTO devrait faire tourner dès aujourd’hui :
- ✅ Inventoriez toutes les apps connectées à votre instance Salesforce
- ✅ Révoquez les tokens non utilisés ou trop anciens
- ✅ Passez en revue les scopes OAuth (est-ce que Gainsight a vraiment besoin d’accéder à TOUT votre CRM ?)
- ✅ Activez les logs d’accès détaillés + alertes sur comportements suspects
- ✅ Mettez en place une politique « zero standing privileges » pour les outils tiers
- ✅ Envisagez sérieusement un CASB (Cloud Access Security Broker) si vous avez plus de 50 employés
Et Gainsight dans tout ça ?
L’entreprise a ouvert une page d’incident et travaille maintenant avec Mandiant (Google). Salesforce a révoqué tous les tokens actifs de leurs apps par précaution. Mais le mal est fait : la confiance est sévèrement entamée.
Pour une plateforme qui vend justement la « santé client » et la rétention, l’ironie est cruelle.
Scattered Spider & ShinyHunters : le duo qui ne dort jamais
Ce collectif anglophone a déjà à son tableau de chasse MGM Resorts, Coinbase, Twilio, Mailchimp, et bien d’autres. Leur marque de fabrique :
- Ingénierie sociale ultra-réaliste (ils appellent le support en imitant parfaitement les employés)
- Exploitation des MFA fatigue attacks
- Monétisation rapide via extortion + vente sur le darkweb
En 2025, ils sont plus organisés que jamais. Et ils adorent cibler la chaîne d’approvisionnement SaaS, car une seule compromission = des centaines de victimes.
Conclusion : la sécurité SaaS n’est plus une option
Cette attaque Gainsight n’est pas un incident isolé. C’est le énième rappel que dans un monde où tout est interconnecté, votre sécurité est aussi forte que le maillon le plus faible de votre stack.
Prenez 2 heures cette semaine pour auditer vos intégrations Salesforce. Ça vaut largement mieux que de se retrouver sur la prochaine liste de Scattered Spider.
Parce que demain, ça pourrait être votre startup qui fait la une… pour les mauvaises raisons.
