Une cyberattaque ciblant la plateforme Klue, spécialisée dans l’intelligence compétitive, a permis à un groupe criminel d’accéder aux données CRM de plusieurs entreprises de cybersécurité. Selon Numerama, l’incident, révélé le 19 juin 2026, touche désormais au moins neuf organisations majeures, dont HackerOne, Huntress, Jamf, OneTrust, Recorded Future, Snyk et Tanium. Ces entreprises, dont l’activité consiste précisément à sécuriser les systèmes d’autres acteurs, se retrouvent exposées après une intrusion exploitée via un accès non supprimé.
Ce qu'il faut retenir
- Une attaque menée par le groupe Icarus a ciblé Klue dès le 11 juin 2026, permettant l’exfiltration de données via des tokens OAuth compromis.
- Neuf entreprises, dont des leaders du secteur cyber, ont confirmé avoir été touchées, avec des données issues de leurs CRM Salesforce exposées.
- Le groupe Icarus a lancé une campagne d’extorsion le 16 juin, exigeant un contact sous 48 heures et menaçant de publier les données volées.
- Klue affirme avoir détecté l’activité suspecte dès le 12 juin et révoqué tous les tokens concernés.
- La date limite fixée par Icarus pour la publication des données est le 22 juin 2026.
Une faille initiale exploitée pour infiltrer un écosystème critique
L’attaque contre Klue, entreprise basée aux États-Unis spécialisée dans l’analyse concurrentielle, a débuté le 11 juin 2026. Selon les premières investigations, rapportées par Numerama, l’accès initial a été obtenu via un identifiant créé pour un prototype d’intégration jamais finalisé ni supprimé. « Ce type d’erreur est malheureusement courant dans les environnements SaaS, où des accès temporaires sont souvent laissés en place par négligence », explique un expert en cybersécurité cité par Numerama.
Une fois à l’intérieur du système, les cybercriminels, affiliés au groupe Icarus apparu en avril 2026, ont injecté un code malveillant dans l’infrastructure de Klue. Leur objectif : récupérer les tokens OAuth utilisés par les clients pour connecter la plateforme à des outils comme Salesforce. Ces tokens, une fois compromis, permettent d’agir en tant qu’application légitime sans nécessiter de nouvelle authentification. « C’est comme voler une clé universelle », précise l’analyse de ReliaQuest, publiée le 17 juin.
Des données sensibles exfiltrées en masse, sans accès direct aux serveurs de Klue
Les cybercriminels ont exploité ces tokens pour interroger les CRM des entreprises clientes de Klue. D’après les données révélées, près d’un millier de requêtes ont été effectuées en seulement 15 minutes via l’API REST de Salesforce, avec des sessions d’exfiltration pouvant dépasser six heures. « Nous avons détecté l’activité suspecte dès le 12 juin et avons immédiatement réagi en révoquant tous les tokens et en suspendant nos intégrations », a déclaré le PDG de Klue dans un communiqué publié le 19 juin.
Les données volées incluent des informations commerciales sensibles : noms, adresses email professionnelles, intitulés de poste, devis et notes commerciales. Plusieurs entreprises touchées, dont Huntress et Recorded Future, ont précisé que ni leurs données de sécurité, ni leurs télémétries ou informations de paiement n’étaient concernées. Klue a par ailleurs assuré que ses propres serveurs n’avaient pas été compromis.
Une campagne d’extorsion ciblée et une course contre la montre
Dès le 16 juin 2026, le groupe Icarus a lancé une campagne d’extorsion à l’encontre des entreprises victimes. Des messages ont été adressés à leurs employés, affirmant que leurs données avaient été copiées et exigeant un contact sous 48 heures. « Les criminels jouent sur l’urgence pour maximiser leur pression psychologique », commente un analyste en cybermenaces.
Le 19 juin, Icarus a ajouté Klue à son site de fuite sur le dark web, menaçant de publier l’intégralité des données exfiltrées si les entreprises ne négociaient pas avant le 22 juin. Une échéance confirmée par un message diffusé sur X (ex-Twitter) : « Klue et ses clients ont jusqu’à lundi pour répondre », peut-on lire dans un tweet relayé par le compte @DarkWebInformer.
Un écosystème cyber fragilisé par ses propres lacunes
L’incident soulève des questions sur la sécurité des chaînes d’approvisionnement numériques. « Les attaques de type supply chain, où un fournisseur est compromis pour atteindre ses clients, deviennent de plus en plus courantes », souligne Numerama. Klue, comme d’autres plateformes tierces, offre un point d’entrée privilégié pour les cybercriminels cherchant à contourner les défenses des grandes entreprises.
Pour les organisations concernées, la priorité reste la réévaluation de leurs protocoles de sécurité. « Les tokens OAuth doivent être révoqués systématiquement après utilisation, et les intégrations tierces auditées régulièrement », recommande un consultant en cybersécurité interrogé par Numerama. Klue a d’ailleurs suspendu ses connexions avec Salesforce, HubSpot, Gong, Slack et d’autres services en attendant une analyse complète.
Les prochaines heures seront déterminantes pour évaluer l’ampleur réelle de cet incident et ses répercussions sur le secteur de la cybersécurité. Les entreprises concernées ont jusqu’à lundi pour tenter de limiter les dégâts, tandis que les autorités compétentes pourraient être saisies pour enquêter sur cette campagne d’extorsion en cours.
Au moins neuf organisations ont confirmé avoir été touchées, dont HackerOne, Huntress, Jamf, OneTrust, Recorded Future, Snyk et Tanium. D’autres pourraient être identifiées dans les prochains jours.
Les données volées proviennent des CRM Salesforce des entreprises concernées : noms, adresses email professionnelles, intitulés de poste, devis et notes commerciales. Aucune donnée de sécurité, de télémétrie ou de paiement n’est impliquée, selon les entreprises touchées.
