Sécurité Connected App Salesforce : org prête ?

TL;DR : Depuis début septembre 2025, Salesforce restreint l'accès aux Connected Apps non installées et retire OAuth 2.0 Device Flow de Data Loader. Ces améliorations de sécurité exigent une action immédiate des admins pour éviter les interruptions d'intégrations existantes.

En septembre, Salesforce a introduit des changements importants dans la sécurité Connected App, ce qui déplace l'équilibre entre accès et contrôle. Il est donc crucial de se préparer.

Pourquoi ce changement ?

Ces derniers mois, une vague de voice-phishing (“vishing”) et de social engineering a visé des clients Salesforce. Des attaquants se faisant passer pour le help desk IT ont poussé des employés à accorder un accès OAuth à des apps malveillantes et utilisé ces credentials pour exfiltrer des données client.

Les victimes connues incluent Google, où des contacts business et notes commerciales ont été volés, ainsi que Chanel, Farmers Insurance et des marques LVMH comme Louis Vuitton, Dior et Tiffany & Co. Dans l'aérien, Air France et KLM ont indiqué en août 2025 qu'une plateforme customer-service tierce compromise avait exposé noms, e-mails, numéros de téléphone et détails de programme de fidélité. 

Ces incidents montrent pourquoi Salesforce renforce le contrôle des connected apps non installées et déprécie OAuth Device Flow.

En tant qu'administrateurs Salesforce, nous équilibrons accessibilité et sécurité. Les utilisateurs doivent avoir les outils nécessaires, tout en protégeant l'organisation.

Qu'est-ce qui change ?

1. Les Connected Apps non installées sont bloquées par défaut

Le changement principal est simple mais important : les Connected Apps non installées ne sont plus accessibles à la plupart des utilisateurs. Si une app n'est pas installée formellement dans votre org, elle est bloquée.

Voici ce que cela signifie :

• Les nouveaux utilisateurs essayant d'accéder à des Connected Apps non installées sont bloqués, sauf permissions de bypass spéciales.
• Les utilisateurs existants ayant déjà autorisé une app peuvent continuer à l'utiliser, seulement si elle ne dépend pas d'OAuth 2.0 Device Flow.
• Toutes les apps non installées utilisant OAuth 2.0 Device Flow sont entièrement bloquées, même pour les utilisateurs les ayant déjà autorisées.

2. Nouvelles permissions pour l'accès bypass

Salesforce a introduit de nouvelles façons pour des utilisateurs de confiance de contourner ces restrictions, avec plus de responsabilité :

• “Approve Uninstalled Connected Apps”, une nouvelle permission introduite dans Summer '25 permettant à certains utilisateurs d'autoriser eux-mêmes des apps non installées.
• “Use Any API Client”, une permission plus large existante qui donne aussi des capacités de bypass.

L'efficacité de ces permissions dépend des paramètres API Access Control de votre org.

3. Suppression de Data Loader OAuth 2.0 Device Flow

Le 2 septembre 2025, l'option OAuth Device Flow pour l'app Data Loader auto-installée a été entièrement supprimée. Les utilisateurs doivent passer à password authentication ou OAuth Web Server Flow.

Pourquoi Salesforce fait cela ?

La réponse est simple : la sécurité. Des attaques récentes de social engineering ont ciblé des utilisateurs Salesforce en les poussant à autoriser des Connected Apps malveillantes se faisant passer pour des outils légitimes comme Data Loader. Ces attaques ont réussi parce qu'elles exploitaient l'écart entre confort utilisateur et contrôle organisationnel.

Les chercheurs notent que des groupes comme ShinyHunters/UNC6040 utilisent le social engineering téléphonique pour contourner MFA et convaincre le personnel d'approuver des OAuth scopes. Après accès, les attaquants extraient discrètement des customer-care records et utilisent les données pour l'extorsion ou du phishing.

Comme l'analyse de Google l'a montré, les attaquants n'exploitaient pas Salesforce lui-même. Ils manipulaient des utilisateurs pour leur faire accorder l'accès à des apps malveillantes. En appliquant une logique de “porte fermée” par défaut, Salesforce oblige les organisations à choisir délibérément les apps accessibles.

Ce que vous devez faire maintenant

1. Auditer vos Connected Apps actuelles

Action immédiate requise : allez dans Setup → Connected Apps OAuth Usage et vérifiez chaque app utilisée.

Cherchez le bouton “Install” dans la colonne Actions. S'il apparaît, l'app est non installée et concernée.

Lors de la revue, vérifiez :

• Dates de première et dernière utilisation, l'app est-elle active ou obsolète ?
• Quels utilisateurs y accèdent, en ont-ils vraiment besoin ?
• Fiabilité, reconnaissez-vous l'app et son publisher ?
• Intégrations légitimes, comme Power BI, apps nonprofit ou solutions partenaires qui doivent être installées.

2. Prendre les décisions d'installation

Pour chaque app non installée identifiée :

• Installez les apps légitimes et activement utilisées.
• Bloquez celles que vous ne reconnaissez pas, ne faites pas confiance ou n'utilisez pas.
• Documentez la justification business de chaque app conservée pour une audit trail claire.

Gouvernance plus forte, moins de breaches

Auditez, installez ou bloquez les apps avec un processus d'approbation clair. Utilisez Serpent pour suivre les permissions et garder votre org sécurisée sans ralentir la delivery.

Essayer la démo gratuite En savoir plus sur Serpent

3. Assigner les nouvelles permissions avec prudence

N'accordez “Approve Uninstalled Connected Apps” que si c'est absolument nécessaire. Les profils adaptés peuvent inclure :

• Administrateurs devant tester des apps avant installation org-wide.
• Développeurs construisant ou maintenant des intégrations.
• Certains utilisateurs business avec un besoin clair et une bonne culture sécurité.

⚠️ Rappel : c'est une permission tout ou rien. Les utilisateurs peuvent autoriser toute Connected App non installée.

4. Préparer les changements Data Loader

Si vos utilisateurs dépendent de Data Loader :

• Téléchargez la dernière version avant le 2 septembre 2025
• Formez les utilisateurs à password authentication ou Web Server Flow
• Communiquez tôt pour éviter les interruptions

4. Préparer les changements Data Loader

Si vos utilisateurs dépendent de Data Loader :

• Mettez à jour vers la dernière version après le 2 septembre 2025
• Formez les utilisateurs à passer d'OAuth Device Flow à Password Authentication ou OAuth Web Server Flow
• Communiquez clairement le changement pour éviter les interruptions de workflows.

5. Renforcer votre gouvernance

Utilisez cette transition pour améliorer votre Connected App governance :

• Revoyez qui peut installer de nouvelles Connected Apps.
• Surveillez régulièrement l'usage des apps et les autorisations utilisateurs.
• Appliquez le principe du moindre privilège sur tous les profiles et roles.
• Demandez API Access Control à votre Salesforce Account Executive si vous avez besoin de guardrails plus stricts.

Vérifiez les demandes help desk et limitez l'accès tiers. Beaucoup de breaches 2025 ont commencé quand des attaquants ont usurpé l'IT support et persuadé le service desk d'accorder ou réinitialiser des credentials. Exigez une vérification d'identité stricte pour toute action service desk, imposez MFA partout, auditez les scopes d'apps tierces et retirez les intégrations inutilisées. Révisez régulièrement les connected apps et révoquez les tokens longue durée pour limiter l'impact en cas de compromission.

Restez conforme, restez prêt à releaser

Laissez Tekunda concevoir une stratégie DevOps security-first adaptée à votre setup Salesforce, pour que vous restiez concentré sur la valeur business pendant que nous gérons la gouvernance.

Réserver une démo Nous contacter

Calendrier et rollout

Le rollout a commencé fin août et se poursuit en septembre :

• 28 août 2025, les nouvelles orgs ont reçu les restrictions.
• 2 septembre 2025, les orgs existantes ont commencé à recevoir les changements, par rollout progressif sur environ 2 semaines.
• 2 septembre 2025, OAuth 2.0 Device Flow a été retiré de Data Loader.

Ce qui ne change pas

Il est important de savoir que tout ne change pas. Voici ce qui reste pareil :

• Les Installed Connected Apps continuent à fonctionner sans interruption.
• Les permissions d'installation de nouvelles apps restent inchangées.
• Les apps déjà autorisées continuent pour les utilisateurs existants, sauf celles utilisant OAuth 2.0 Device Flow.

Vue d'ensemble : la sécurité est un sport d'équipe

Même si Salesforce fournit ces nouveaux contrôles, la sécurité de plateforme reste une responsabilité partagée. Les contrôles techniques les plus forts ne protègent pas d'un utilisateur manipulé par social engineering.

Utilisez cette transition pour renforcer la culture sécurité :

• Former les utilisateurs à repérer phishing et vishing
• Définir des procédures d'escalation claires pour les demandes suspectes
• Auditer régulièrement l'usage Connected App et les permissions.
• Documenter votre app approval process pour des décisions cohérentes et transparentes.

Conclusion

Ces mises à jour montrent l'engagement de Salesforce à fermer les failles de sécurité tout en conservant la flexibilité de la plateforme. En les reliant aux incidents récents, de Google et Chanel à Air France–KLM, on comprend pourquoi restreindre les apps non installées et retirer OAuth Device Flow est nécessaire. Les attaquants abusent de plus en plus de la confiance et du confort ; votre gouvernance et l'éducation utilisateur doivent évoluer aussi vite.

Ces changements donnent plus de contrôle aux admins, mais demandent aussi une préparation proactive. En auditant Connected Apps, en mettant à jour les permissions et en formant les utilisateurs, vous éviterez les interruptions et renforcerez votre posture de sécurité pendant le rollout.

Vos utilisateurs comptent sur vous pour garder les bonnes portes ouvertes et les mauvaises bien fermées.