Klue frappé par une double extorsion : Icarus supprime les données, un second groupe réclame une rançon

Le 12 juin 2026, la plateforme de veille concurrentielle Klue a détecté une activité non autorisée au sein de son infrastructure d'intégration. La brèche a été menée par le groupe d'extorsion Icarus, une nouvelle entité qui ne comptait que deux victimes précédentes sur son site de fuite . Les attaquants ont exploité un identifiant hérité compromis lié à un compte de service d'intégration pour obtenir un accès, puis ont dérobé des jetons OAuth que les clients utilisaient pour connecter Klue à des plateformes tierces, principalement Salesforce . Grâce à ces jetons, Icarus a interrogé et exfiltré en masse des données CRM Salesforce — notamment des contacts professionnels, des opportunités et des données de conversations commerciales — depuis plusieurs environnements clients .

Le rebondissement inattendu : Icarus supprime les données tandis qu'un second groupe entre en scène

Icarus supprime les données volées. Dans une mise à jour adressée aux clients le 25 juin et consultée par TechCrunch, Klue a déclaré : « Icarus nous a dit qu'il prend des mesures pour supprimer les données issues des clients Klue. Le site d'Icarus est toujours hors ligne et nous avons des indications qu'Icarus supprime effectivement les données » .

Un second groupe anonyme émerge. Malgré la destruction apparente des données par Icarus, un second gang de pirates, non identifié, a obtenu au moins une partie des informations volées et extorque directement les clients de Klue . Selon la mise à jour de Klue jeudi, « Icarus nous a dit que l'autre partie ne détient que des échantillons de données et qu'elle cherche de manière opportuniste et frauduleuse à obtenir un paiement directement auprès d'un certain nombre de nos clients » . Ce second groupe a publié une liste d'entreprises prétendument concernées sur son propre site d'extorsion .

195 organisations touchées

Plusieurs rapports confirment qu'environ 195 organisations ont vu leurs données dérobées. The Register fait état de « centaines » de victimes , d'autres sources précisant que 195 entreprises ont reçu des demandes de rançon directes. Parmi les victimes confirmées figurent Huntress, Recorded Future, HackerOne, Jamf, Tanium, Gong, OneTrust, Snyk, Sprout Social, Insurity, et d'autres . Notons que LastPass n'apparaît dans aucune des listes de divulgation citées, contrairement à certaines allégations non vérifiées.

Comment l'attaque a fonctionné

• Point d'entrée : Les attaquants ont utilisé un identifiant API compromis, inactif depuis longtemps, associé à un service d'intégration abandonné, pour accéder au backend de Klue .
• Vol de jetons : Un code malveillant a été implanté pour dérober les jetons OAuth que les clients avaient accordés à Klue pour se connecter à Salesforce et à d'autres plateformes (dont Gong) .
• Exfiltration des données : Grâce à ces jetons, les attaquants ont effectué des requêtes automatisées contre les organisations Salesforce connectées, extrayant en masse des données CRM telles que des contacts professionnels, des informations tarifaires et des notes sur les opportunités .
• Compromission de la chaîne d'approvisionnement SaaS : L'incident est décrit comme une attaque de la chaîne d'approvisionnement via des intégrations tierces. Klue a déclaré qu'il n'existe aucune preuve que le contenu client stocké sur la plateforme Klue elle-même ait été impacté .

Consignes officielles : Klue déconseille à ses clients de payer

Appuyé par CrowdStrike. Klue a confirmé publiquement avoir « fait appel à CrowdStrike » pour soutenir l'enquête et valider les mesures de réponse . L'entreprise a pris des mesures immédiates : révocation des identifiants et jetons concernés, suppression du code non autorisé, désactivation des intégrations impactées et notification aux forces de l'ordre .

Avis concernant le second groupe d'extorsion. Dans sa mise à jour du 25 juin, Klue a conseillé à ses clients de ne pas payer le second groupe non identifié. Klue recommande plutôt aux clients concernés de demander des échantillons de données probantes avant d'engager toute négociation liée à une demande d'extorsion — et de transmettre toute communication de ce type directement à Klue ou aux forces de l'ordre pour vérification . L'entreprise a souligné que le second groupe ne semble posséder que des « échantillons » de données et agit de manière opportuniste et frauduleuse .

Remédiation en cours. Klue mène une révision complète de ses contrôles de sécurité, de sa gestion des identifiants, de sa surveillance et de ses processus de déploiement afin de mettre en œuvre des garanties supplémentaires .