Einstein’s Wormhole : le bug qui permet de récupérer les informations des calendriers Outlook et Google à l’aide des utilisateurs invités de Salesforce

Détection de Menaces, Réponse aux Incidents

Einstein Wormhole

Si votre organisation utilise les communautés Salesforce et Einstein Activity Capture, les événements du calendrier Outlook ou Google de votre administrateur sont peut-être accessibles depuis Internet en raison d’un bug appelé Einstein’s Wormhole (Trou de ver d’Einstein en français), découvert par l’équipe de recherche de Varonis. Ces événements peuvent renfermer du contenu très sensible, comme le noms et l’adresse e-mail des participants, l’URL et le mot de passe des réunions, les ordres du jour, des pièces jointes et les réponses envoyées par e-mail à l’organisateur. Le problème a été remonté à Salesforce et rapidement corrigé par son équipe, connue pour sa compétence et sa réactivité. Toutefois, si votre communauté Salesforce a été créée avant le déploiement de la mise à jour Summer ’21, vous devez agir pour protéger les événements de calendrier exposés. Prenez sans attendre les mesures suivantes :

  1. Remplacez l’adresse e-mail de l’utilisateur invité par une adresse factice, comme test@example.com ou guest@yourcompany.com.
  2. Supprimez les événements sensibles du calendrier qu’Einstein a associé à votre utilisateur invité.

Vous trouverez des instructions plus détaillées dans la section Mesures d’atténuation. N’hésitez pas à contacter notre équipe si vous avez besoin d’aide pour auditer votre instance Salesforce. Poursuivez votre lecture pour découvrir dans le détail comment deux fonctions Salesforce qui n’ont apparemment rien à voir sont en réalité liées, et les implications de ce lien sur votre sécurité.

Einstein Activity Capture

Einstein Activity Capture (EAC) est un outil qui vous permet de synchroniser vos e-mails et événements de calendrier entre vos comptes Microsoft Exchange ou Google et Salesforce. Il remplace Lightning Sync, une solution antérieure qui sera bientôt considérée comme obsolète. Dans cet article, nous parlons exclusivement d’Einstein Activity Capture, mais les concepts que nous allons aborder s’appliquent également à Lightning Sync. L’objectif d’Einstein Activity Capture est de doper la productivité de votre équipe commerciale en réunissant les e-mails pertinents de vos clients et vos réunions dans un seul et même système, Salesforce. Einstein fait preuve d’intelligence : lorsque vous créez une réunion, il tente d’identifier d’autres personnes enregistrées dans Salesforce (utilisateurs, leads, contacts) pour synchroniser l’événement sur leur calendrier. Le processus est le suivant :

  • Salesforce se connecte au calendrier (Outlook ou Google) et récupère les événements.
  • La solution ajoute alors ces événements au calendrier Salesforce de l’utilisateur.
  • Elle analyse ensuite les participants à l’événement et recherche en interne des utilisateurs, leads et contacts ayant les mêmes adresses e-mail.
  • Si Salesforce trouve des correspondances, l’événement est ajouté à leurs propres calendriers Salesforce.

Pour en savoir plus sur le fonctionnement de la synchronisation des événements, rendez-vous ici.

Einstein’s Wormhole

Jusqu’à la mise à jour Summer ’21, les utilisateurs invités étaient associés à l’adresse e-mail de l’administrateur Salesforce. Profil utilisateur invité Salesforce Reprenons maintenant le processus de synchronisation d’Einstein en tenant compte de ce détail. Imaginez que votre DSI envoie via Outlook une invitation à une réunion à l’administrateur Salesforce de l’entreprise (ou plutôt, l’administratrice dans le cas présent, que nous appellerons Judy). La réunion porte sur un sujet sensible, la feuille de route de l’entreprise, et inclut plusieurs intervenants clés. L’utilisateur invité ayant la même adresse e-mail que Judy, voici comment se déroulait ce processus avant la mise à jour Summer ’21 :

  • Salesforce trouve l’événement du DSI et identifie l’administratrice comme l’un des participants.
  • Salesforce recherche des utilisateurs et d’autres objets internes dont l’adresse e-mail correspond à celle des participants.
  • Salesforce trouve Judy, l’administratrice Salesforce, et synchronise l’événement sur son calendrier.
  • Salesforce trouve AUSSI l’utilisateur invité, et synchronise l’événement sur son calendrier.

Conséquence directe, l’événement et ses détails (participants, objet, numéro, lien Zoom et même réponses à l’invitation) sont accessibles depuis Internet via l’utilisateur invité. Vol des données de calendriers Salesforce Les événements eux-mêmes peuvent contenir des informations sensibles susceptibles de porter atteinte à l’entreprise. Avec un lien de réunion, un mot de passe et une liste de participants, un attaquant pourrait très bien assister à une réunion sans être remarqué. Ces informations peuvent aussi être utilisées dans le cadre d’attaques de spear phishing ou pour compromettre d’autres services, procéder à un déplacement latéral, etc.

Mesures d’atténuation

Salesforce a rapidement corrigé le bug. Désormais, les nouvelles communautés n’associent plus l’utilisateur invité à l’adresse d’un utilisateur existant. Néanmoins, nous vous recommandons de remplacer l’adresse e-mail de l’utilisateur invité de toutes vos communautés antérieures au déploiement de la mise à jour Summer’21 par une adresse factice qui ne correspond à celle d’aucun utilisateur réel. L’extrait ci-dessous peut être exécuté dans la Developer Console pour modifier l’adresse e-mail de l’ensemble des utilisateurs invités :

for (User user: [SELECT Id FROM User WHERE UserType=’Guest’]) { user.Email = ’guest@company.com’; update user; }

Pour accéder à la Developer Console, cliquez sur l’icône d’engrenage en haut de la page et sélectionnez Developer Console (pensez à vous connecter en tant qu’administrateur !) :  Developer Console Salesforce Dans la Developer Console, appuyez sur Ctrl+E (ce raccourci fonctionne sur Windows comme sur Mac) pour ouvrir la fenêtre d’exécution anonyme. Fenêtre d’exécution anonyme Collez le code dans la fenêtre et cliquez sur Execute (Exécuter) pour modifier automatiquement l’adresse e-mail de l’ensemble des utilisateurs invités. La suppression des objets d’événements sensibles associés à l’utilisateur invité n’a rien d’évident. Si vous avez besoin d’aide pour y parvenir, n’hésitez pas à contacter notre équipe.

Conclusions

La conclusion la plus importante que nous pouvons tirer de cette analyse réside dans le fait que le risque auquel les solutions SaaS sont exposées augmente avec l’interconnexion des services. Dans le cas présent, deux fonctionnalités a priori sans lien sont en réalité associées de manière inattendue et indésirable. Or, ces erreurs de configuration ou vulnérabilités mineures peuvent avoir des conséquences dramatiques. Par ailleurs, il est essentiel que les entreprises comprennent bien le modèle de responsabilité partagée adopté par les fournisseurs de solutions SaaS. Les applications SaaS sont généralement sécurisées. Toutefois, dès qu’une entreprise y place des données, leur protection relève de sa seule responsabilité. Les organisations doivent donc bien comprendre les solutions SaaS de leur environnement et les implications qu’elles ont les unes sur les autres. N’hésitez pas à créer un équivalent à un diagramme de topologie réseau pour vos produits SaaS afin de visualiser clairement les transferts de données d’une application à l’autre. Vous pouvez utiliser un produit de sécurité du cloud (pourquoi pas l’excellent DatAdvantage Cloud) pour visualiser les accès exacts dont dispose un utilisateur (invité ou non  !) sur vos différentes applications SaaS, classifier vos données sensibles et surveiller l’activité afin de repérer d’éventuelles anomalies.

Chronologie

  • 08/08/2021 : bug communiqué à Salesforce
  • 11/08/2021 : bug trié
  • 19/08/2021 : bug corrigé

Merci à NITAY BACHRACH pour la version originale de cette note de recherche en cybersécurité.

Avatar

Adrien Rahmati-Georges

Adrien a été formé à la cybersécurité, aux risques et à l'intelligence économique à l'École de Guerre Économique de Paris. Il aime décortiquer les différentes couches d'intérêts géopolitiques derrière une attaque, et évangéliser autour des risques encourus. Travaillant comme coordinateur marketing chez Varonis depuis 2017, il fournit du contenu français et allemand pour nos blogs.

 

Votre cybersécurité est-elle au cœur de votre infrastructure ?

Bénéficiez d'une évaluation personnalisée des risques auxquels sont exposées vos données, effectuée par des ingénieurs passionnés par la sécurité des données.