Fuite Klue : un token OAuth dormant ouvre les CRM Salesforce de Huntress, Gong et Tanium

21/6/26
👈 les autres actualités

Un identifiant oublié, jamais révoqué, a suffi. Entre le 11 et le 13 juin 2026, la plateforme d'intelligence concurrentielle Klue a vu un attaquant détourner des tokens OAuth reliant son service aux environnements Salesforce de ses clients — parmi lesquels figurent Huntress, Tanium, Jamf, Gong, Recorded Future ou Sprout Social. Le groupe d'extorsion « Icarus » revendique l'attaque et menace de diffuser les données volées. Pour les DPO et RSSI, l'affaire est un cas d'école du risque sous-traitant à l'ère des intégrations SaaS.

Ce qui s'est passé

Klue détecte un comportement anormal dans son infrastructure d'intégration le 11 juin, confirme l'intrusion le 12, puis désactive les identifiants compromis et coupe les intégrations le 13 en alertant ses clients. L'enquête, menée avec CrowdStrike et documentée par les chercheurs de ReliaQuest et Huntress, établit que l'attaquant est entré via un « identifiant hérité » (legacy credential) associé à un service d'intégration déprécié : un token OAuth de longue durée que plus personne n'avait pensé à révoquer.

Avec ce sésame, les attaquants ont généré de nouveaux tokens et interrogé l'API Salesforce à l'aide de scripts Python — jusqu'à près de 1 000 requêtes par quart d'heure — avant d'exfiltrer les données. Klue affirme qu'aucune donnée stockée directement dans sa plateforme n'a été touchée : l'incident se limiterait aux intégrations tierces. Par précaution, l'éditeur a néanmoins suspendu ses connexions avec Salesforce, mais aussi Gong, HubSpot, Slack, Google Drive, SharePoint, Zoom, Clari et Chorus. Les données dérobées — contacts professionnels, échanges commerciaux, grilles tarifaires et battlecards — n'incluraient ni mots de passe ni données de paiement. À partir du 16 juin, Icarus a envoyé des mails d'extorsion aux victimes, exigeant une prise de contact via la messagerie Session sous peine de publication sur son site de fuite.

Pourquoi c'est important

Un token OAuth confère un accès applicatif de haut niveau, sans authentification interactive : il contourne le MFA et les contrôles réseau. C'est précisément ce qui rend ce type de compromission silencieux et durable. L'affaire Klue rejoint une série d'incidents où le maillon faible n'est pas le responsable de traitement lui-même, mais un prestataire d'intégration — un scénario que la CNIL a précisément modélisé dans son scénario type de cyberattaque chez un sous-traitant.

Côté RGPD, même si les informations volées sont « professionnelles », des noms, adresses e-mail et fonctions restent des données personnelles. L'incident peut donc déclencher les obligations de notification à la CNIL sous 72 heures et de communication aux personnes concernées prévues aux articles 33 et 34. Et comme le rappelle l'analyse de l'économie souterraine des données volées, une fuite ne se referme jamais vraiment : les contacts exfiltrés alimentent pendant des années le phishing ciblé et l'ingénierie sociale. Jamf a d'ailleurs déjà averti ses clients que des attaquants pourraient se faire passer pour ses équipes en s'appuyant sur les coordonnées dérobées.

Ce que ça change pour les organisations

Si votre organisation utilise — ou a utilisé — Klue connecté à Salesforce, la réponse est immédiate : révoquer et réémettre tous les tokens OAuth autorisés pour l'intégration, désactiver temporairement la connexion en attendant les consignes de l'éditeur, puis auditer les connected apps et les journaux d'API à la recherche d'accès anormaux. Au-delà de l'urgence, l'incident impose un travail de fond :

  • Cartographier les intégrations SaaS dormantes et révoquer systématiquement les autorisations OAuth devenues inutiles — c'est la « connexion que personne n'a pensé à couper » qui a tout déclenché.
  • Privilégier les tokens à durée de vie courte et la rotation régulière des secrets, plutôt que des refresh tokens permanents.
  • Durcir les clauses des contrats de sous-traitance (article 28 RGPD) : obligations de notification rapide, droit d'audit, exigences de sécurité (article 32) sur les fournisseurs d'intégration.
  • Tester sa procédure de réponse à incident pour tenir le délai de notification de 72 heures. Notre guide sur la violation de données détaille la marche à suivre, de la qualification à la documentation au registre.

Ce que Leto pense de cette affaire

Le coupable n'est pas une faille sophistiquée : c'est une intégration oubliée. Klue a réagi vite et de façon transparente — désactivation des accès, alerte clients, recours à un prestataire forensic, saisine des autorités — et cette gestion mérite d'être saluée. Mais la véritable leçon est ailleurs. Chaque case « Autoriser l'accès » cochée il y a deux ans est une porte qui reste ouverte tant que personne ne la referme. Pour les DPO, gérer les sous-traitants ne s'arrête pas à la signature d'un DPA : cela suppose un inventaire vivant des connexions OAuth et une discipline de révocation. La gouvernance des intégrations n'est plus un sujet purement technique — c'est désormais une obligation de conformité à part entière.

Sources : BleepingComputer, GovInfoSecurity, DataBreaches.net.

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026