Fuite de données Salesforce : comment l’attaque contre Klue impacte la cybersécurité
Une attaque contre la plateforme d’intelligence compétitive Klue a permis à un groupe criminel d’exfiltrer des données CRM chez des dizaines d’entreprises, dont plusieurs noms majeurs du secteur de la cybersécurité. L’incident a débuté le 11 juin 2026 et le nombre de victimes continue d’augmenter.
Ce jour-là, un acteur affilié au groupe cybercriminel Icarus a accédé aux systèmes de Klue, un outil de veille concurrentielle qui centralise et analyse des informations sur le marché et les concurrents. Depuis le 18 juin, au moins neuf organisations ont confirmé avoir été affectées, incluant des entreprises telles que HackerOne, Huntress, Jamf, OneTrust, Recorded Future, Snyk et Tanium, tous des acteurs majeurs de l’écosystème cyber, dont le cœur de métier est précisément de protéger les autres.
Selon les premières analyses, le point d’entrée exploité est un identifiant resté actif, créé dans le cadre d’un prototype d’intégration jamais finalisé ni supprimé. À partir de cet accès, l’attaquant aurait injecté une mise à jour de code malveillante dans l’infrastructure de Klue. L’objectif était de collecter les tokens OAuth utilisés par les clients pour connecter la plateforme à leurs outils, notamment Salesforce. En possession de ces clés, l’attaquant aurait pu interroger directement les CRM des organisations concernées.
D’après une analyse publiée le 17 juin par ReliaQuest, le groupe Icarus a mené des extractions massives sur une période très courte, réalisant près d’un millier de requêtes en 15 minutes via l’API REST de Salesforce, avec des sessions d’exfiltration pouvant dépasser six heures. Klue a détecté l’activité suspecte dès le 12 juin, puis a révoqué tous les tokens et suspendu ses intégrations avec Salesforce, HubSpot, Gong, Slack et plusieurs autres services.
Klue a communiqué publiquement sur l’incident le 19 juin, après avoir informé en amont les partenaires concernés. Selon son CEO, l’impact se limiterait aux plateformes tierces intégrées, sans indication de compromission des données hébergées directement par Klue. Les données exfiltrées proviennent des CRM Salesforce des organisations touchées : noms, adresses email professionnelles, intitulés de poste, devis et notes commerciales. Plusieurs entreprises concernées, dont Huntress et Recorded Future, ont précisé qu’aucune donnée de sécurité, de télémétrie ou de paiement n’est impliquée.
En parallèle, le groupe Icarus, apparu en avril 2026, a engagé une campagne d’extorsion dès le 16 juin, adressant des messages à des employés des entreprises visées, affirmant que leurs données avaient été copiées et fixant un délai de 48 heures pour entrer en contact. Le groupe a également publié des revendications sur le dark web, ajoutant Klue à son site de fuite le 19 juin et menaçant de publier les données exfiltrées en l’absence de négociation, avec une date limite fixée au 22 juin.
Source : Klue
