La plateforme canadienne de veille concurrentielle Klue a confirmé avoir subi une cyberattaque ayant entraîné un accès non autorisé aux données hébergées par certains de ses clients. L’incident illustre une nouvelle fois les risques liés aux services tiers connectés aux environnements cloud des entreprises, notamment les bases de données Salesforce.
Jetons OAuth volés via une ancienne connexion
Selon Klue, l’intrusion a été détectée le 12 juin 2026 et proviendrait d’un ancien identifiant compromis associé à un service d’intégration. Les attaquants auraient ensuite récupéré des tokens OAuth utilisés pour connecter la plateforme aux outils cloud de ses clients, avant d’accéder à certaines données stockées dans les environnements connectés.
Dans sa communication, l’entreprise indique que l’attaquant a exploité un « anciennes informations d’identification compromises » afin d’obtenir ces autorisations. Klue a depuis désactivé les intégrations concernées et a mandaté CrowdStrike pour l’aider à répondre aux incidents.
Huntress, Recorded Future, Snyk et autres sociétés concernées
Plusieurs entreprises ont confirmé être concernées, notamment Huntress, Recorded Future, HackerOne, Jamf, Snyk, OneTrust, Tanium, Gong et Sprout Social. Les données consultées ou exfiltrées concernent principalement des informations professionnelles : noms, adresses email, numéros de téléphone, fonctions, coordonnées de compte client et informations commerciales présentes dans certains CRM.
Le groupe cybercriminel Icarus revendique l’opération et menace de publier les données volées en l’absence de paiement. Cette affirmation doit cependant être distinguée des éléments officiellement confirmés par Klue et les entreprises concernées.
Une attaque contre la supply chain numérique
Plutôt que de cibler chaque victime séparément, les attaquants ont ciblé un intermédiaire disposant de connexions à plusieurs systèmes clients. Cette méthode transforme une seule compromission en un point d’entrée potentiel vers plusieurs organisations.
L’affaire rappelle que la sécurité des applications SaaS ne dépend pas uniquement des mots de passe et de l’authentification interne. La révocation rapide des accès existants, l’audit des intégrations OAuth et la limitation des privilèges accordés aux services tiers deviennent essentiels à mesure que les entreprises augmentent les connexions entre leurs outils cloud.
