
Le groupe d'extorsion Icarus a volé les jetons OAuth que Klue détenait pour ses clients et s'en est servi pour dérober des données de leurs propres comptes Salesforce et Gong. La leçon pour les équipes de risque tiers : le risque de quatrième partie, quand une application SaaS connectée transforme la violation d'un fournisseur en perte de vos données.
Un outil de veille concurrentielle est devenu la porte d'entrée vers les données clients de dizaines d'entreprises à la fois. En juin 2026, le groupe d'extorsion Icarus a utilisé un identifiant hérité volé (une ancienne clé d'accès toujours valide) pour atteindre les systèmes d'intégration de Klue, un module qui se connecte à Salesforce et Gong. Il a ensuite récolté les jetons OAuth que Klue détenait pour ses clients. Un jeton OAuth est l'autorisation permanente qu'une application conserve pour agir dans une autre : ces jetons ont donc ouvert les dossiers Salesforce et Gong de chaque client sans mot de passe. Parmi les victimes nommées figurent Huntress, Jamf, Recorded Future, Tanium, Insurity et Sprout Social. Aucun identifiant client n'a été forcé. Le maillon faible était une application tierce connectée, et son risque résidait dans un jeton, pas dans un contrat.
Ce qui s'est passé
Klue a confirmé avoir détecté une activité non autorisée dans son infrastructure d'intégration le 12 juin 2026 et avoir désactivé le lendemain les identifiants et intégrations OAuth concernés, selon les informations de BleepingComputer et The Hacker News. Les analystes de ReliaQuest et d'Obsidian Security relient l'intrusion à Icarus, un groupe d'extorsion actif depuis avril 2026. Les attaquants ont utilisé un identifiant hérité pour entrer dans les systèmes de Klue, ont déployé une modification de code qui a collecté les jetons OAuth stockés par Klue pour ses clients, puis se sont servis de ces jetons pour extraire des données des environnements Salesforce et Gong des clients. Comme un jeton fonctionne jusqu'à sa révocation, le vol reposait sur un accès permanent plutôt que sur un mot de passe cassé.
Les données volées sont décrites comme des contacts professionnels, des échanges commerciaux, des informations tarifaires et des notes d'opportunité. Aux alentours du 16 juin 2026, Icarus a commencé à envoyer des e-mails d'extorsion laissant 48 heures aux destinataires pour établir le contact. Klue indique avoir révoqué les jetons et identifiants concernés, retiré le code non autorisé, mandaté la société de réponse à incident CrowdStrike et prévenu les autorités. Salesforce a désactivé l'intégration Klue sur sa propre plateforme le temps de l'enquête. La liste des clients nommés, qui comprend Huntress, Jamf, Recorded Future, Tanium, Insurity et Sprout Social, n'a cessé de s'allonger au fil des divulgations.
Pourquoi c'est important pour le risque tiers
Une fois les noms mis de côté, le schéma est familier, mais la porte est nouvelle. La même forme est apparue quelques jours plus tôt dans la faille zero-day Oracle PeopleSoft, où une seule plateforme partagée a exposé plus d'une centaine d'organisations à la fois. Chaque intégration SaaS à SaaS qu'une entreprise approuve confie à une application tierce une clé durable vers ses données. Cette clé réside chez le fournisseur, pas dans vos propres murs, et elle survit généralement à la raison pour laquelle elle a été accordée. Quand le fournisseur est piraté, c'est cette clé que l'attaquant emporte. C'est le risque de quatrième partie en pratique : vos données Salesforce peuvent partir via un fournisseur intégré il y a des années et auquel vous ne pensez plus.
Les registres de fournisseurs le reflètent rarement. Un outil comme Klue passe facilement inaperçu : il est petit, il a souvent été approuvé par une équipe commerciale plutôt que par la sécurité, et son risque réside dans un jeton d'accès, pas dans un contrat signé. Pour les entités relevant du règlement européen DORA (Digital Operational Resilience Act) ou de la directive NIS2, les applications SaaS connectées disposant d'un accès permanent aux données clés sont précisément le type de dépendance informatique et de quatrième partie que les deux régimes attendent des organisations qu'elles identifient et maîtrisent.
Ce que les équipes doivent en retenir
Deux actions à mener dès maintenant. D'abord, recenser les intégrations OAuth connectées à vos plateformes clés, Salesforce, Google Workspace, Microsoft 365 et autres, et révoquer celles qui sont obsolètes, trop permissives ou sans propriétaire. Une application connectée que personne ne se souvient d'avoir approuvée, c'est exactement le scénario Klue. Ensuite, traiter l'hygiène des jetons comme un contrôle mesuré : privilégier les jetons à courte durée de vie, les limiter au strict minimum de données nécessaires, et surveiller les extractions de données inhabituelles via les comptes d'intégration plutôt que via les connexions utilisateurs, car c'est là que ce vol s'est dissimulé. En cas de pépin, un plan de réponse aux violations bien répété détermine la rapidité avec laquelle l'exposition est contenue.
Pour les équipes de gestion des risques tiers, c'est là que la surveillance continue des fournisseurs prend le pas sur un questionnaire annuel, car une application connectée peut passer de commodité à violation en une seule journée.
FAQ
Qu'est-ce que la fuite Klue ?
Klue est un outil de veille concurrentielle qui se connecte à Salesforce et Gong. En juin 2026, des attaquants ont volé les jetons d'accès OAuth que Klue détenait pour ses clients et s'en sont servis pour dérober des données des comptes Salesforce et Gong de ces clients. Le groupe d'extorsion Icarus a revendiqué l'activité.
Pourquoi est-ce un incident lié aux tiers et non une violation ordinaire ?
Les clients n'ont pas été compromis via leurs propres connexions. Ils ont été exposés via une application tierce connectée disposant d'un accès permanent à leurs données. La compromission d'un seul fournisseur a atteint de nombreux clients en aval en même temps, ce qui caractérise le risque lié à la chaîne d'approvisionnement SaaS et à la quatrième partie. Pour les fondamentaux, voir ce que recouvre la gestion des risques tiers.
Que doivent faire maintenant les entreprises utilisant Salesforce ou Gong ?
Passer en revue et révoquer les intégrations d'applications connectées dont vous n'avez pas activement besoin, faire tourner et redéfinir la portée des jetons OAuth restants, et vérifier les journaux d'activité des intégrations pour repérer tout accès inhabituel remontant à début juin 2026.
Vous souhaitez appliquer cela à votre écosystème fournisseurs ? Découvrez la plateforme en action et cartographiez vos principaux risques fournisseurs en direct lors d'une présentation.

