Skip to content
Cyber Breaches
Recherche
Chaîne d’approvisionnementContenu

La compromission de la chaîne d'approvisionnement de Klue expose les données Salesforce de ses clients

Un identifiant d'API dormant a permis à des attaquants de compromettre la plateforme d'intelligence concurrentielle Klue et de récolter les jetons OAuth des applications connectées de ses clients, exfiltrant des enregistrements Salesforce d'entreprises comme Huntress et Recorded Future lors d'une attaque de la chaîne d'approvisionnement ensuite attribuée au groupe d'extorsion Icarus.

Victime
Klue (et ses clients dont Huntress et Recorded Future)
SecteurTechnologie
PaysCanadaÉtats-Unis
GroupeIcarus

Le 19 juin 2026, les sociétés de cybersécurité Huntress et Recorded Future ont révélé que leurs données Salesforce avaient été volées à la suite d'une compromission de la chaîne d'approvisionnement visant Klue — la plateforme d'intelligence concurrentielle et d'analyse win-loss basée à Vancouver, dont l'application s'intègre aux CRM de ses clients. Cette fuite illustre parfaitement la manière dont un seul fournisseur SaaS de confiance peut devenir un canal vers les données de nombreuses organisations en aval.

Ce qui s'est passé

D'après les notifications adressées par Klue à ses clients et les communications des entreprises touchées, les attaquants ont d'abord accédé à l'infrastructure dorsale de Klue à l'aide d'un identifiant d'API resté dormant, créé à l'origine pour un prototype d'intégration tierce abandonné. À partir de ce point d'appui, ils ont déployé une mise à jour de code conçue pour récolter les jetons OAuth des applications connectées des clients. Ces jetons ont ensuite servi à atteindre les systèmes en aval des clients — en premier lieu leurs instances Salesforce — et à en exfiltrer des données.

Klue a détecté et contenu l'activité non autorisée le matin du 12 juin 2026, puis a procédé à la désactivation des jetons OAuth de tous ses clients tout en coupant ses intégrations avec Salesforce, HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive et Slack. Le 17 juin 2026, Salesforce a de son côté désactivé l'application connectée « Battlecards » de Klue, avertissant qu'une activité inhabituelle avait pu entraîner un accès non autorisé à un sous-ensemble de données clients via la connexion de l'application à Salesforce.

Impact

Les victimes en aval étaient les clients ayant connecté Klue à leur CRM. Recorded Future a indiqué ne pas avoir été spécifiquement ciblée mais avoir été une victime incidente de l'intégration compromise entre Salesforce et Klue, et que l'impact semblait limité à des champs de données commerciales stockés dans sa base Salesforce — tels que des noms de contacts clients et adresses e-mail, certaines informations contractuelles ayant aussi pu être concernées. Huntress a de même confirmé qu'une partie de ses données Salesforce avait été exfiltrée. Le nombre total de clients de Klue touchés n'a pas été divulgué.

Attribution

Huntress a indiqué avoir reçu une tentative de communication d'extorsion émanant d'un acteur se faisant appeler « Mr Brean », qui renvoyait à un identifiant Session Messenger associé à Icarus, un groupe d'extorsion apparu en avril 2026. Sur la base de ces concordances, Huntress a déclaré disposer d'un haut niveau de confiance quant à la responsabilité de l'acteur Icarus dans la compromission de Klue.

Pourquoi c'est important

L'incident Klue met en lumière un thème récurrent des fuites modernes : la sécurité d'une organisation est bornée par celle des applications SaaS auxquelles elle accorde un accès. Un identifiant oublié, lié à une intégration obsolète, a suffi à transformer un fournisseur en rampe de lancement, et les jetons OAuth — pensés pour la commodité — sont devenus les clés ouvrant les données CRM des clients. Il témoigne aussi du ciblage continu des applications tierces connectées à Salesforce comme voie de grande valeur vers les données d'entreprise, rappelant pourquoi les organisations doivent inventorier leurs applications connectées, restreindre étroitement les autorisations OAuth et retirer les identifiants dormants.

Chronologie

  1. Une activité non autorisée dans l'infrastructure dorsale de Klue est détectée et contenue le matin même ; Klue commence à notifier ses clients, désactive les jetons OAuth et coupe ses intégrations tierces.

  2. Salesforce désactive l'application connectée « Battlecards » de Klue après avoir détecté une activité inhabituelle ayant pu exposer un sous-ensemble de données clients via l'intégration.

  3. Huntress et Recorded Future révèlent publiquement que leurs données Salesforce ont été exfiltrées via la compromission de Klue ; Huntress attribue l'attaque avec un haut niveau de confiance au groupe d'extorsion Icarus.

Sources

  1. huntress.comhttps://www.huntress.com/blog/klue-breach-investigation
  2. recordedfuture.comhttps://www.recordedfuture.com/blog/klue-security-incident
  3. securityweek.comhttps://www.securityweek.com/cybersecurity-firms-impacted-by-klue-supply-chain-attack/
  4. thehackernews.comhttps://thehackernews.com/2026/06/salesforce-disables-klue-app.html
  5. govinfosecurity.comhttps://www.govinfosecurity.com/attackers-steal-salesforce-data-from-klue-battlecards-users-a-32011

Incidents liés

Chaîne d’approvisionnementContenu

Détournement du scope npm Mastra : 144 paquets du framework d'IA piégés (easy-day-js)

Un compte de contributeur détourné a servi à republier 144 paquets du populaire scope npm @mastra (agents d'IA) avec une dépendance malveillante typosquattée, easy-day-js, qui téléchargeait un cheval de Troie d'accès à distance multiplateforme et un voleur de cryptomonnaies sur toute machine de développeur ou système de build qui les installait.

Victim
Mastra (scope npm @mastra)
Chaîne d’approvisionnementContenu

Les extensions WordPress OptinMonster, TrustPulse et PushEngage piégées par une attaque de chaîne d'approvisionnement via le CDN d'Awesome Motive

Des attaquants ont dérobé une clé d'API CDN à Awesome Motive et altéré le JavaScript servi aux extensions WordPress OptinMonster, TrustPulse et PushEngage, créant en silence des comptes administrateurs malveillants et installant des portes dérobées sur les sites dont les administrateurs connectés chargeaient le code piégé.

Victim
Awesome Motive (OptinMonster, TrustPulse, PushEngage)
Chaîne d’approvisionnementEn cours

L'attaque sur la chaîne d'approvisionnement « Atomic Arch » détourne plus de 400 paquets AUR d'Arch Linux pour déployer un voleur d'identifiants et un rootkit eBPF

Les chercheurs de Sonatype ont mis au jour « Atomic Arch », une campagne sur la chaîne d'approvisionnement dans laquelle des attaquants ont adopté des centaines de paquets orphelins de l'Arch User Repository et réécrit leurs scripts de compilation pour installer un paquet npm malveillant déposant un voleur d'identifiants Linux doté de capacités optionnelles de rootkit eBPF.

Victim
Arch User Repository (AUR)
Chaîne d’approvisionnementContenu

Le ver Miasma frappe 73 dépôts GitHub de Microsoft lors d'une attaque de la chaîne d'approvisionnement (2026)

Un ver auto-réplicateur de la chaîne d'approvisionnement baptisé Miasma a compromis 73 dépôts répartis sur quatre organisations GitHub de Microsoft, plantant des fichiers de configuration qui dérobaient des identifiants cloud et développeur dès que les projets étaient ouverts dans des agents de codage IA comme Claude Code et Cursor.

Victim
Microsoft (GitHub repositories)