Attaque Klue : comment un identifiant prototype oublié a compromis des centaines d’environnements Salesforce

Le 11 juin 2026, des attaquants ont pénétré dans les systèmes de Klue, une plateforme de veille concurrentielle basée à Vancouver utilisée par des centaines d’entreprises pour synchroniser des « battlecards » dans Salesforce CRM. Le point d’entrée n’était pas une faille zero-day sophistiquée, mais un identifiant oublié d’un prototype d’intégration abandonné que Klue avait créé, jamais déployé et jamais désactivé . Cet identifiant OAuth périmé fonctionnait toujours, permettant à l’attaquant de s’authentifier sur l’infrastructure d’intégration de Klue . Une fois à l’intérieur, les attaquants ont poussé des mises à jour de code malveillant qui ont récolté les jetons OAuth pour Salesforce et d’autres intégrations tierces à partir des environnements clients de Klue . Avec ces jetons, ils ont usurpé l’identité de l’application Klue et interrogé les environnements CRM Salesforce connectés via l’API REST de Salesforce, lançant près de 1 000 appels API par 15 minutes en rafales concentrées sur une fenêtre d’environ 24 heures . Lorsque Klue a alerté ses clients le 13 juin, l’attaquant avait déjà exfiltré les jetons de centaines d’organisations Salesforce connectées . Les données volées comprenaient des contacts professionnels, des pistes commerciales, des historiques de cas de support client, des noms, adresses e-mail, numéros de téléphone et informations de tarification . Cette attaque est la troisième brèche par chaîne d’approvisionnement OAuth Salesforce en dix mois, après les attaques contre Drift (Salesloft) et Gainsight .

📋 Qui a été touché

Les attaquants ont utilisé les jetons OAuth volés pour accéder aux données Salesforce de centaines de clients enterprise de Klue . Les organisations suivantes ont publiquement confirmé ou ont été nommées comme victimes :

Organisation	Statut	Source
Huntress	Confirmé par un article de blog de Huntress
Recorded Future	Confirmé par les deux entreprises
Tanium	Divulgué via Infosecurity Magazine
Jamf	Divulgué via Infosecurity Magazine
HackerOne	Nommé par TechCrunch et LinkedIn
Kudelski Security	Nommé dans les rapports de brèche
Snyk	Nommé dans les rapports de brèche
Insurity	Nommé dans les rapports de brèche
Sprout Social	Nommé dans les rapports de brèche
LastPass	Confirmé via TNW ; données personnelles et de support client volées

Huntress a publié un article détaillé qualifiant l’incident d’« effet domino de sécurité », notant qu’Icarus a ensuite listé les données de Huntress sur son site de fuite .

🔑 Comment l’attaque s’est déroulée

La chaîne d’attaque était directe et exploitait un angle mort courant de la sécurité SaaS : les identifiants oubliés. Klue avait créé un identifiant OAuth pour un prototype d’intégration qui n’a jamais été déployé et n’a jamais été supprimé des systèmes actifs . Le 11 juin, le groupe Icarus a trouvé cet identifiant, s’est authentifié sur le backend de Klue et a poussé du code malveillant vers la couche d’intégration de Klue. Ce code a collecté tous les jetons OAuth que Klue détenait pour les intégrations clients — Salesforce, HubSpot, Gong, SharePoint, Zoom, et plus encore . Avec ces jetons, les attaquants ont directement interrogé les environnements Salesforce sans avoir besoin d’autres identifiants.

📊 Exfiltration des données en détail

Les attaquants n’ont pas siphonné les données discrètement. La société de sécurité ReliaQuest a observé l’activité et a rapporté que l’attaquant a lancé près de 1 000 requêtes API en une seule rafale de 15 minutes et a maintenu des fenêtres d’extraction soutenues de plus de six heures . L’exfiltration totale a duré environ 24 heures . Les attaquants ont interrogé les points de terminaison de l’API REST de Salesforce tels que /services/data/v59.0/query/*, en utilisant des scripts Python automatisés pour extraire en masse des enregistrements . Les données volées étaient limitées aux informations CRM et commerciales, et non aux systèmes internes ou aux identifiants des organisations affectées .

⚡ Comment Klue et Salesforce ont réagi

• Klue a détecté une activité non autorisée le 12 juin et a commencé à notifier les clients le 13 juin. L’entreprise a coupé les intégrations et a travaillé avec les clients affectés pour faire pivoter les jetons . Klue a confirmé que les attaquants avaient utilisé un identifiant hérité compromis pour obtenir des jetons OAuth et accéder aux environnements Salesforce des clients .
• Salesforce a désactivé l’application Klue Battlecards sur toutes les instances client affectées à 19 h 22 BST le 17 juin 2026, sans préavis aux clients . Salesforce a ensuite exhorté tous les clients Klue connectés à faire pivoter les jetons OAuth et à examiner les journaux d’audit API pour détecter les requêtes non autorisées .

🕵️‍💻 Le groupe d’extorsion Icarus et l’alias « mr bean »

Un groupe criminel nouvellement suivi, se faisant appeler Icarus, a revendiqué la responsabilité. Le groupe est actif depuis environ avril 2026 et a commencé à lister les victimes sur son site de fuite fin juin . Icarus a contacté les victimes par e-mail en utilisant l’alias « mr bean » (en minuscules), exigeant un paiement en échange de la non-publication des données Salesforce volées . Le 22 juin, Icarus a commencé à publier les données volées de Huntress et d’autres victimes sur son site dédié aux fuites de données . Le groupe est le premier connu à utiliser ce pipeline spécifique Klue-OAuth-vers-Salesforce, marquant un changement par rapport aux attaques précédentes menées par ShinyHunters sur des intégrations Salesforce tierces similaires . Huntress a confirmé que les données publiées par Icarus correspondaient à la portée de ce qui avait déjà été rapporté et que les fichiers concernant Huntress étaient limités dans leur nature .

🔍 Pourquoi c’est important

Cette brèche n’est pas un incident isolé. C’est la troisième brèche majeure par chaîne d’approvisionnement OAuth Salesforce en moins d’un an, après les attaques contre Drift (Salesloft) et Gainsight . Le schéma est cohérent : les attaquants ciblent le hub d’intégration, volent les jetons OAuth et les utilisent pour accéder aux environnements CRM sans déclencher d’alarmes, car les requêtes proviennent d’une application tierce de confiance. La brèche Klue souligne également le danger des identifiants orphelins dans les environnements SaaS — un identifiant créé pour un prototype et jamais désactivé est devenu le point de défaillance unique pour des centaines d’organisations Salesforce enterprise .