Nordstrom : compromission Okta SSO → Salesforce, emails cryp...

Le système email marketing de Nordstrom a été compromis pour diffuser une campagne de crypto-scam à grande échelle. L'analyse révèle une chaîne d'attaque passant par Okta SSO et Salesforce Experience Cloud, un vecteur qui devient récurrent dans le paysage des menaces.

Vecteur d'attaque

Les emails frauduleux provenaient de nordstrom@eml.nordstrom.com, l'adresse légitime utilisée par Nordstrom pour ses communications marketing. Ce n'est ni du spoofing ni du header forgery : les messages ont été envoyés depuis l'infrastructure Salesforce authentifiée de l'entreprise, passant donc tous les contrôles SPF, DKIM et DMARC.

Selon une source proche de l'enquête, le chemin d'attaque a été le suivant :

1. Compromission d'un compte Okta SSO (méthode non confirmée — probablement phishing ou session hijacking)
2. Pivot vers Salesforce via la fédération d'identité Okta
3. Accès à Salesforce Experience Cloud (Marketing Cloud)
4. Envoi des emails scam via les templates et l'infrastructure d'envoi existants

Ce vecteur est particulièrement dangereux car il contourne toutes les protections email classiques. L'email provient bien du domaine légitime, avec les bons enregistrements DNS, la bonne signature DKIM, et le bon envelope-sender.

Contenu et ingénierie sociale

La campagne utilisait un lure de type Saint-Patrick promettant un retour 200% sur les dépôts crypto. Plusieurs adresses de portefeuilles (Bitcoin, Ethereum) étaient fournies. La fenêtre d'urgence de 2 heures est un classique d'ingénierie sociale pour court-circuiter l'analyse critique.

Le seul indicateur visible dans le corps du message : « Normstorm » au lieu de « Nordstrom » dans le header. Les wallets ont collecté un peu plus de 5 600 dollars avant la réaction de l'entreprise.

Pattern récurrent

Cette compromission s'inscrit dans une série d'attaques similaires :

• Betterment (février 2026) : même chaîne Okta → Salesforce → emails crypto scam
• GrubHub (mars 2026) : variante similaire avec promesse de retour 10x

Le pattern est clair : les attaquants ciblent spécifiquement les entreprises utilisant Okta comme IdP fédéré vers Salesforce Marketing Cloud. La compromission d'un seul compte SSO donne accès à l'envoi de masse depuis une adresse légitime, avec un impact de confiance maximal.

Implications pour la défense

Les protections email classiques (SPF, DKIM, DMARC) ne détectent pas ce type d'attaque puisque l'envoi est légitime au niveau infrastructure. Les défenses doivent se déplacer vers :

• Monitoring comportemental des envois marketing (volume inhabituel, templates non approuvés, heures d'envoi anormales)
• MFA résistant au phishing sur les comptes Okta (FIDO2/WebAuthn plutôt que SMS/TOTP)
• Segmentation des permissions Salesforce (limiter qui peut créer et envoyer des campagnes)
• Alertes sur les connexions SSO depuis des IP/appareils inconnus
• Contrôle de contenu automatisé sur les campagnes sortantes (détection de mots-clés crypto, adresses de wallet)

Nordstrom n'a pas commenté publiquement sur le vecteur d'attaque exact. L'entreprise a envoyé un email de suivi confirmant le caractère « non autorisé » du message et rappelant qu'elle ne demande jamais de transactions en cryptomonnaie.