Une faille dans Agentforce expose les données de Salesforce

Des chercheurs en sécurité ont réussi à exploiter une faille dans Agentforce de Salesforce donnant la capacité à des pirates de dissimuler des commandes malveillantes dans des formulaires pour extraire des données CRM sensibles.

Une vulnérabilité critique récemment découverte dans la plateforme Agentforce de Salesforce pouvant inciter un agent IA à divulguer des données CRM sensibles par le biais d'une injection de prompt a été corrigée. Les chercheurs de Noma Security, qui ont identifié cette faille sous le nom « ForcedLeak », ont expliqué qu'elle pouvait être exploitée par des pirates insérant des instructions malveillantes dans un formulaire client. Si l'éditeur a corrigé le problème après sa divulgation, les chercheurs enjoignent les entreprises à ne pas le sous-estimer.

La méthode d'attaque révélée par Noma était d'une simplicité désarmante. En insérant du texte frauduleux dans le formulaire web-to-lead de Salesforce, couramment utilisé à des fins de prospection marketing, les chercheurs ont découvert qu'un agent IA chargé d'examiner les données de prospection client qui lui sont soumises pouvait être amené à exécuter des prompts malveillants. Le champ de description des formulaires, avec 42 000 caractères autorisés, offrait suffisamment d'espace pour déguiser des charges utiles en demandes commerciales inoffensives. Une fois qu'un employé interagit avec Agentforce, l’agent IA les traite mais exécute en même temps un script camouflé par l'attaquant. Pire encore : la politique de sécurité du contenu de Salesforce incluait un domaine expiré qui figurait toujours sur sa liste blanche. En réenregistrant le domaine pour seulement 5 $, les chercheurs ont pu créer un canal d'exfiltration de données en apparence légitime, transformant une négligence mineure en une faille de sécurité majeure. « L'injection de prompt indirecte est essentiellement de type cross-site scripting, mais au lieu de tromper une base de données, les attaquants utilisent l'IA en ligne pour le faire », explique Andy Bennett, responsable de la sécurité des systèmes d'information chez Apollo Information Systems. « C'est comme un mélange d'attaques scriptées et d'ingénierie sociale. L'innovation est impressionnante et les répercussions sont potentiellement stupéfiantes. »

Une faille corrigée par Salesforce

Noma Security a découvert et rapporté cette faille le 28 juillet 2025 à Salesforce qui l’a prise en considération trois jours plus tard. Le 8 septembre, l’éditeur a annoncé des améliorations de sécurité pour Agentforce et Einstein AI et la vulnérabilité a été rendue publique jeudi dernier. La correction a été faite en appliquant des « listes d'autorisation d'URL fiables ». Bien que la société n'ait pas directement crédité Noma pour cette découverte, elle a inclus une description connexe. « Nos services sous-jacents qui alimentent Agentforce appliqueront la liste blanche d'URL fiables afin de garantir qu'aucun lien malveillant ne soit appelé ou généré par une injection potentielle », a-t-elle alors déclaré. Un porte-parole de Salesforce a déclaré : « Le paysage de la sécurité en matière d'injection reste un domaine complexe et en constante évolution, et nous continuons à investir dans des contrôles de sécurité rigoureux et à travailler en étroite collaboration avec la communauté des chercheurs afin de protéger nos clients lorsque ce type de problèmes survient. »

Alors que Salesforce a réagi plutôt rapidement en proposant un correctif, les experts s'accordent à dire que les agents IA constituent une surface d'attaque fondamentalement plus large. Les vecteurs de compromission des agents combinent à la fois mémoire, capacité de prise de décision et exécution d’outils et peuvent servir à propager très rapidement les attaques. « Il est conseillé de sécuriser les systèmes autour des agents IA utilisés, notamment les API, les formulaires et les middlewares, afin que les injections de prompt soient plus difficiles à exploiter et moins nuisibles en cas de réussite », a fait savoir Chrissa Constantine, architecte senior en solutions de cybersécurité chez Black Duck. Elle a souligné que pour une véritable prévention, il ne suffit pas d'appliquer des correctifs, mais qu’il faut « maintenir la configuration et mettre en place des garde-fous autour de la conception des agents, de la chaîne d'approvisionnement logicielle, des applications web et des tests d'API ».

Considérer les agents IA comme des systèmes de production

Les chercheurs de Noma ont fait écho à cet appel, exhortant les entreprises à traiter les agents IA comme des systèmes de production, en les inventoriant, en validant les connexions sortantes, en nettoyant les entrées avant qu'elles n'atteignent le modèle et en signalant tout accès à des données sensibles ou toute sortie Internet. « Nettoyez les entrées externes avant que l'agent ne les voie », a suggéré Elad Luz, responsable de la recherche chez Oasis Security. « Traitez le texte libre des formulaires de contact comme une entrée non fiable. Utilisez une couche de médiation des entrées pour extraire uniquement les champs attendus, supprimer/neutraliser les instructions, les liens et les balises, et empêcher le modèle d'interpréter le contenu utilisateur comme des commandes (résilience à l'injection de prompt). »

Cette vulnérabilité intervient un peu plus de trois mois après qu’un acteur malveillant ait utilisé l’hameçonnage vocal (vishing), pour compromettre les données organisationnelles des clients de Salesforce pour les extraire.