Accueil / Le Long Format / Research
Long Format

Fuite OAuth Klue : comment une application connectée a exposé les données CRM de Huntress, Jamf et d'autres clients

Le groupe d'extorsion Icarus a volé les jetons OAuth que Klue détenait pour ses clients et s'en est servi pour dérober des données de leurs propres comptes Salesforce et Gong. La leçon pour les équipes de risque tiers : le risque de quatrième partie, quand une application SaaS connectée transforme la violation d'un fournisseur en perte de vos données.

Fuite OAuth Klue : comment une application connectée a exposé les données CRM de Huntress, Jamf et d'autres clients
TL;DR

Le groupe d'extorsion Icarus a volé les jetons OAuth que Klue détenait pour ses clients et s'en est servi pour dérober des données de leurs propres comptes Salesforce et Gong. La leçon pour les équipes de risque tiers : le risque de quatrième partie, quand une application SaaS connectée transforme la violation d'un fournisseur en perte de vos données.

Un outil de veille concurrentielle est devenu la porte d'entrée vers les données clients de dizaines d'entreprises à la fois. En juin 2026, le groupe d'extorsion Icarus a utilisé un identifiant hérité volé (une ancienne clé d'accès toujours valide) pour atteindre les systèmes d'intégration de Klue, un module qui se connecte à Salesforce et Gong. Il a ensuite récolté les jetons OAuth que Klue détenait pour ses clients. Un jeton OAuth est l'autorisation permanente qu'une application conserve pour agir dans une autre : ces jetons ont donc ouvert les dossiers Salesforce et Gong de chaque client sans mot de passe. Parmi les victimes nommées figurent Huntress, Jamf, Recorded Future, Tanium, Insurity et Sprout Social. Aucun identifiant client n'a été forcé. Le maillon faible était une application tierce connectée, et son risque résidait dans un jeton, pas dans un contrat.

Fuite OAuth Klue (juin 2026) : le chemin d'exposition Une application connectee detenait des cles permanentes vers les donnees CRM de nombreux clients. Piratee, ses cles ont ete volees. Icarus groupe d'extorsion actif depuis avr. 2026 identifiant herite vole Klue Integration Salesforce + Gong (module SaaS) Coffre de jetons OAuth cles permanentes vers les donnees Salesforce et Gong de chaque client l'attaquant deploie du code pour recolter les jetons jetons OAuth valides, sans mot de passe Clients en aval exposes Huntress . Jamf . Recorded Future Tanium . Insurity . Sprout Social et d'autres clients Klue (liste en cours) Donnees extraites de leurs propres comptes Salesforce et Gong : contacts, echanges commerciaux, tarifs et notes d'opportunite. Des e-mails d'extorsion suivent : "48 heures pour nous contacter" Le risque de quatrieme partie, en une phrase : Vos donnees CRM peuvent partir via l'application connectee d'un fournisseur, avec une cle d'acces accordee une fois puis oubliee. L'identifiant du client n'est jamais force. C'est le jeton OAuth permanent que l'attaquant emporte. Sources : BleepingComputer, The Hacker News, ReliaQuest, Obsidian Security. Schema provisoire pour Breach Wire, Supplier Shield.

Ce qui s'est passé

Klue a confirmé avoir détecté une activité non autorisée dans son infrastructure d'intégration le 12 juin 2026 et avoir désactivé le lendemain les identifiants et intégrations OAuth concernés, selon les informations de BleepingComputer et The Hacker News. Les analystes de ReliaQuest et d'Obsidian Security relient l'intrusion à Icarus, un groupe d'extorsion actif depuis avril 2026. Les attaquants ont utilisé un identifiant hérité pour entrer dans les systèmes de Klue, ont déployé une modification de code qui a collecté les jetons OAuth stockés par Klue pour ses clients, puis se sont servis de ces jetons pour extraire des données des environnements Salesforce et Gong des clients. Comme un jeton fonctionne jusqu'à sa révocation, le vol reposait sur un accès permanent plutôt que sur un mot de passe cassé.

Les données volées sont décrites comme des contacts professionnels, des échanges commerciaux, des informations tarifaires et des notes d'opportunité. Aux alentours du 16 juin 2026, Icarus a commencé à envoyer des e-mails d'extorsion laissant 48 heures aux destinataires pour établir le contact. Klue indique avoir révoqué les jetons et identifiants concernés, retiré le code non autorisé, mandaté la société de réponse à incident CrowdStrike et prévenu les autorités. Salesforce a désactivé l'intégration Klue sur sa propre plateforme le temps de l'enquête. La liste des clients nommés, qui comprend Huntress, Jamf, Recorded Future, Tanium, Insurity et Sprout Social, n'a cessé de s'allonger au fil des divulgations.

Pourquoi c'est important pour le risque tiers

Une fois les noms mis de côté, le schéma est familier, mais la porte est nouvelle. La même forme est apparue quelques jours plus tôt dans la faille zero-day Oracle PeopleSoft, où une seule plateforme partagée a exposé plus d'une centaine d'organisations à la fois. Chaque intégration SaaS à SaaS qu'une entreprise approuve confie à une application tierce une clé durable vers ses données. Cette clé réside chez le fournisseur, pas dans vos propres murs, et elle survit généralement à la raison pour laquelle elle a été accordée. Quand le fournisseur est piraté, c'est cette clé que l'attaquant emporte. C'est le risque de quatrième partie en pratique : vos données Salesforce peuvent partir via un fournisseur intégré il y a des années et auquel vous ne pensez plus.

Les registres de fournisseurs le reflètent rarement. Un outil comme Klue passe facilement inaperçu : il est petit, il a souvent été approuvé par une équipe commerciale plutôt que par la sécurité, et son risque réside dans un jeton d'accès, pas dans un contrat signé. Pour les entités relevant du règlement européen DORA (Digital Operational Resilience Act) ou de la directive NIS2, les applications SaaS connectées disposant d'un accès permanent aux données clés sont précisément le type de dépendance informatique et de quatrième partie que les deux régimes attendent des organisations qu'elles identifient et maîtrisent.

Ce que les équipes doivent en retenir

Deux actions à mener dès maintenant. D'abord, recenser les intégrations OAuth connectées à vos plateformes clés, Salesforce, Google Workspace, Microsoft 365 et autres, et révoquer celles qui sont obsolètes, trop permissives ou sans propriétaire. Une application connectée que personne ne se souvient d'avoir approuvée, c'est exactement le scénario Klue. Ensuite, traiter l'hygiène des jetons comme un contrôle mesuré : privilégier les jetons à courte durée de vie, les limiter au strict minimum de données nécessaires, et surveiller les extractions de données inhabituelles via les comptes d'intégration plutôt que via les connexions utilisateurs, car c'est là que ce vol s'est dissimulé. En cas de pépin, un plan de réponse aux violations bien répété détermine la rapidité avec laquelle l'exposition est contenue.

Pour les équipes de gestion des risques tiers, c'est là que la surveillance continue des fournisseurs prend le pas sur un questionnaire annuel, car une application connectée peut passer de commodité à violation en une seule journée.

FAQ

Qu'est-ce que la fuite Klue ?

Klue est un outil de veille concurrentielle qui se connecte à Salesforce et Gong. En juin 2026, des attaquants ont volé les jetons d'accès OAuth que Klue détenait pour ses clients et s'en sont servis pour dérober des données des comptes Salesforce et Gong de ces clients. Le groupe d'extorsion Icarus a revendiqué l'activité.

Pourquoi est-ce un incident lié aux tiers et non une violation ordinaire ?

Les clients n'ont pas été compromis via leurs propres connexions. Ils ont été exposés via une application tierce connectée disposant d'un accès permanent à leurs données. La compromission d'un seul fournisseur a atteint de nombreux clients en aval en même temps, ce qui caractérise le risque lié à la chaîne d'approvisionnement SaaS et à la quatrième partie. Pour les fondamentaux, voir ce que recouvre la gestion des risques tiers.

Que doivent faire maintenant les entreprises utilisant Salesforce ou Gong ?

Passer en revue et révoquer les intégrations d'applications connectées dont vous n'avez pas activement besoin, faire tourner et redéfinir la portée des jetons OAuth restants, et vérifier les journaux d'activité des intégrations pour repérer tout accès inhabituel remontant à début juin 2026.

Quelle est la prochaine étape ?

Vous souhaitez appliquer cela à votre écosystème fournisseurs ? Découvrez la plateforme en action et cartographiez vos principaux risques fournisseurs en direct lors d'une présentation.

Lire ensuite

Fuite e-mail KDDI : comment une plateforme de messagerie partagée a exposé jusqu'à 14,2 millions d'identifiants chez six FAI

Fuite e-mail KDDI : comment une plateforme de messagerie partagée a exposé jusqu'à 14,2 millions d'identifiants chez six FAI

Une seule plateforme de messagerie exploitée par KDDI a exposé les identifiants de jusqu'à 14,2 millions de clients chez six fournisseurs d'accès japonais. La leçon pour les équipes de risque tiers : risque de concentration et de quatrième partie, de nombreuses marques sur un même système partagé, compromis par une faille logicielle tierce.

Lire l'article
Faille zero-day Oracle PeopleSoft (CVE-2026-35273) : comment une plateforme RH a compromis plus de 100 organisations

Faille zero-day Oracle PeopleSoft (CVE-2026-35273) : comment une plateforme RH a compromis plus de 100 organisations

Une seule faille zero-day dans Oracle PeopleSoft a permis à ShinyHunters de compromettre plus de 100 organisations, de l'Université de Nottingham à Nissan. La leçon pour les équipes de risque tiers : le risque de concentration, quand un logiciel partagé transforme une faille en de multiples incidents.

Lire l'article
Évaluation des fournisseurs : la check-list de diligence 2026

Évaluation des fournisseurs : la check-list de diligence 2026

Une check-list d'évaluation des fournisseurs pour 2026, hiérarchisée par niveau de risque et reliée à ce qu'exigent DORA, NIS2 et le RGPD, avec les contrôles sur les quatrièmes parties que la plupart des équipes oublient.

Lire l'article
Fuite OAuth Klue expose des données CRM Salesforce | Breach Wire | Supplier Shield