- Remplacez l’adresse e-mail de l’utilisateur invité par une adresse factice, comme test@example.com ou guest@yourcompany.com.
- Supprimez les événements sensibles du calendrier qu’Einstein a associé à votre utilisateur invité.
Einstein Activity Capture
Einstein Activity Capture (EAC) est un outil qui vous permet de synchroniser vos e-mails et événements de calendrier entre vos comptes Microsoft Exchange ou Google et Salesforce. Il remplace Lightning Sync, une solution antérieure qui sera bientôt considérée comme obsolète. Dans cet article, nous parlons exclusivement d'Einstein Activity Capture, mais les concepts que nous allons aborder s'appliquent également à Lightning Sync. L'objectif d'Einstein Activity Capture est de doper la productivité de votre équipe commerciale en réunissant les e-mails pertinents de vos clients et vos réunions dans un seul et même système, Salesforce.
Einstein fait preuve d'intelligence : lorsque vous créez une réunion, il tente d'identifier d'autres personnes enregistrées dans Salesforce (utilisateurs, leads, contacts) pour synchroniser l'événement sur leur calendrier. Le processus est le suivant :
- Salesforce se connecte au calendrier (Outlook ou Google) et récupère les événements.
- La solution ajoute alors ces événements au calendrier Salesforce de l’utilisateur.
- Elle analyse ensuite les participants à l’événement et recherche en interne des utilisateurs, leads et contacts ayant les mêmes adresses e-mail.
- Si Salesforce trouve des correspondances, l’événement est ajouté à leurs propres calendriers Salesforce.
Einstein’s Wormhole
Jusqu’à la mise à jour Summer ’21, les utilisateurs invités étaient associés à l’adresse e-mail de l’administrateur Salesforce.
Reprenons maintenant le processus de synchronisation d’Einstein en tenant compte de ce détail. Imaginez que votre DSI envoie via Outlook une invitation à une réunion à l’administrateur Salesforce de l’entreprise (ou plutôt, l’administratrice dans le cas présent, que nous appellerons Judy). La réunion porte sur un sujet sensible, la feuille de route de l’entreprise, et inclut plusieurs intervenants clés. L’utilisateur invité ayant la même adresse e-mail que Judy, voici comment se déroulait ce processus avant la mise à jour Summer ’21 :
- Salesforce trouve l’événement du DSI et identifie l’administratrice comme l’un des participants.
- Salesforce recherche des utilisateurs et d’autres objets internes dont l’adresse e-mail correspond à celle des participants.
- Salesforce trouve Judy, l’administratrice Salesforce, et synchronise l’événement sur son calendrier.
- Salesforce trouve AUSSI l’utilisateur invité, et synchronise l’événement sur son calendrier.
Conséquence directe, l’événement et ses détails (participants, objet, numéro, lien Zoom et même réponses à l’invitation) sont accessibles depuis Internet via l’utilisateur invité.
Les événements eux-mêmes peuvent contenir des informations sensibles susceptibles de porter atteinte à l’entreprise. Avec un lien de réunion, un mot de passe et une liste de participants, un attaquant pourrait très bien assister à une réunion sans être remarqué. Ces informations peuvent aussi être utilisées dans le cadre d’attaques de spear phishing ou pour compromettre d’autres services, procéder à un déplacement latéral, etc.
Mesures d'atténuation
Salesforce a rapidement corrigé le bug. Désormais, les nouvelles communautés n’associent plus l’utilisateur invité à l’adresse d’un utilisateur existant. Néanmoins, nous vous recommandons de remplacer l’adresse e-mail de l’utilisateur invité de toutes vos communautés antérieures au déploiement de la mise à jour Summer’21 par une adresse factice qui ne correspond à celle d’aucun utilisateur réel. L’extrait ci-dessous peut être exécuté dans la Developer Console pour modifier l’adresse e-mail de l’ensemble des utilisateurs invités :for (User user: [SELECT Id FROM User WHERE UserType=’Guest’]) { user.Email = ’guest@company.com’; update user; }
Pour accéder à la Developer Console, cliquez sur l'icône d'engrenage en haut de la page et sélectionnez Developer Console (pensez à vous connecter en tant qu'administrateur !) :
Dans la Developer Console, appuyez sur Ctrl+E (ce raccourci fonctionne sur Windows comme sur Mac) pour ouvrir la fenêtre d'exécution anonyme.
Collez le code dans la fenêtre et cliquez sur Execute (Exécuter) pour modifier automatiquement l'adresse e-mail de l'ensemble des utilisateurs invités. La suppression des objets d'événements sensibles associés à l'utilisateur invité n'a rien d'évident. Si vous avez besoin d'aide pour y parvenir, n'hésitez pas à contacter notre équipe.
Conclusions
La conclusion la plus importante que nous pouvons tirer de cette analyse réside dans le fait que le risque auquel les solutions SaaS sont exposées augmente avec l’interconnexion des services. Dans le cas présent, deux fonctionnalités a priori sans lien sont en réalité associées de manière inattendue et indésirable. Or, ces erreurs de configuration ou vulnérabilités mineures peuvent avoir des conséquences dramatiques. Par ailleurs, il est essentiel que les entreprises comprennent bien le modèle de responsabilité partagée adopté par les fournisseurs de solutions SaaS. Les applications SaaS sont généralement sécurisées. Toutefois, dès qu’une entreprise y place des données, leur protection relève de sa seule responsabilité. Les organisations doivent donc bien comprendre les solutions SaaS de leur environnement et les implications qu’elles ont les unes sur les autres. N’hésitez pas à créer un équivalent à un diagramme de topologie réseau pour vos produits SaaS afin de visualiser clairement les transferts de données d’une application à l’autre. Vous pouvez utiliser un produit de sécurité du cloud (pourquoi pas l’excellent DatAdvantage Cloud) pour visualiser les accès exacts dont dispose un utilisateur (invité ou non !) sur vos différentes applications SaaS, classifier vos données sensibles et surveiller l’activité afin de repérer d’éventuelles anomalies.Chronologie
- 08/08/2021 : bug communiqué à Salesforce
- 11/08/2021 : bug trié
- 19/08/2021 : bug corrigé
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Nitay Bachrach
Nitay est un chercheur en sécurité basé à Tel Aviv, mais vous pouvez le rencontrer partout dans le monde. C'est un expert en sécurité du cloud, expérimenté dans les opérations de sécurité offensives et la rétro-ingénierie. Son expertise s’étend également aux dispositifs IoT, Linux et la sécurité des réseaux locaux.