Une attaque contre la plateforme d’intelligence compétitive Klue a permis à un groupe criminel d’exfiltrer des données CRM chez des dizaines d’entreprises, dont plusieurs noms majeurs du secteur de la cybersécurité.

C’est une affaire qui débute le 11 juin 2026 et dont le nombre de victimes continue d’augmenter.

Ce jour-là, un acteur affilié au groupe cybercriminel Icarus accède aux systèmes de Klue, un outil de veille concurrentielle permettant de centraliser et analyser des informations sur le marché et les concurrents.

Depuis le 18 juin, au moins neuf organisations ont confirmé avoir été affectées, et la liste a de quoi surprendre : HackerOne, Huntress, Jamf, OneTrust, Recorded Future, Snyk et Tanium, autant d’acteurs majeurs de l’écosysteme cyber dont le cœur de métier est précisément de protéger les autres.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Un token suffit à ouvrir toutes les portes

Selon les premières analyses, le point d’entrée exploité est un identifiant resté actif, créé dans le cadre d’un prototype d’intégration jamais finalisé ni supprimé. À partir de cet accès, l’attaquant aurait injecté une mise à jour de code malveillante dans l’infrastructure de Klue.

L’objectif était de collecter les tokens OAuth utilisés par les clients pour connecter la plateforme à leurs outils, notamment Salesforce. En possession de ces clés, l’attaquant aurait pu interroger directement les CRM des organisations concernées.

Le mécanisme exploité est central dans les environnements SaaS. Lorsqu’une entreprise connecte Klue à Salesforce, un token OAuth est généré : il s’agit d’un accès persistant, fonctionnant sans authentification supplémentaire. Tant qu’il n’est pas révoqué, ce token permet d’agir comme l’application légitime aux yeux du service tiers.

D’après l’analyse de ReliaQuest publiée le 17 juin, le groupe Icarus a mené des extractions massives sur une période très courte : près d’un millier de requêtes en 15 minutes via l’API REST de Salesforce, avec des sessions d’exfiltration pouvant dépasser six heures. Klue indique avoir détecté l’activité suspecte dès le 12 juin, puis révoqué l’ensemble des tokens et suspendu ses intégrations, notamment avec Salesforce, HubSpot, Gong, Slack et plusieurs autres services.

Icarus, un nouvel acteur cybercriminel

Klue a communiqué publiquement sur l’incident le 19 juin, après avoir informé en amont les partenaires concernés. Selon son CEO, l’impact se limiterait aux plateformes tierces intégrées, sans indication de compromission des données hébergées directement par Klue.

Les données exfiltrées proviennent des CRM Salesforce des organisations touchées : noms, adresses email professionnelles, intitulés de poste, devis et notes commerciales. Plusieurs entreprises concernées, dont Huntress et Recorded Future, précisent qu’aucune donnée de sécurité, de télémétrie ou de paiement n’est impliquée.

En parallèle, le groupe Icarus, apparu tout juste en avril 2026, a engagé une campagne d’extorsion dès le 16 juin. Des messages ont été adressés à des employés des entreprises visées, affirmant que leurs données avaient été copiées et fixant un délai de 48 heures pour entrer en contact. Le groupe a également publié des revendications sur le dark web.

Icarus a ajouté Klue à son site de fuite le 19 juin, menaçant de publier les données exfiltrées en l’absence de négociation. La date limite annoncée est fixée au 22 juin.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !