Introduction
Début juin 2026, neuf entreprises spécialisées en cybersécurité ont appris que leurs données commerciales stockées dans Salesforce avaient été exfiltrées. Pas par une faille du CRM lui-même, mais par une application SaaS tierce que leurs équipes commerciales utilisaient au quotidien pour faire de la veille concurrentielle.
Klue, plateforme canadienne d'intelligence de marché, est le maillon de la chaîne qui a cédé. Ses clients Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social et Tanium ont découvert leurs données dans le viseur du groupe d'extorsion Icarus.
Une credential oubliée, un accès persistant
L'accès initial a été obtenu via une accréditation dormante — une credential créée par Klue pour prototyper une intégration tierce jamais finalisée, mais jamais révoquée. À partir de là, les attaquants ont infiltré l'infrastructure backend de la plateforme et poussé une mise à jour de code malveillant capable de collecter les tokens OAuth que les clients utilisaient pour connecter Klue à leur instance Salesforce.
Ces jetons ont suffi pour interroger directement les CRM des victimes via l'API REST de Salesforce. La méthode d'exfiltration révèle une opération planifiée : une phase de reconnaissance lente pour cartographier les objets Salesforce disponibles, suivie d'une accélération soudaine — près d'un millier de requêtes sur quinze minutes — pour aspirer le maximum de données avant d'être détectés.
Les intégrations SaaS, nouveau vecteur systémique
Ce que l'affaire Klue illustre, c'est moins la sophistication technique de l'attaque que la logique du vecteur choisi. Icarus n'a pas cherché à compromettre Salesforce directement : le groupe a ciblé une application métier périphérique, dédiée aux équipes Sales et Marketing, pour remonter vers les CRM de ses grands clients.
Ce schéma s'inscrit dans une série plus large. Des compromissions similaires avaient déjà visé des environnements Salesforce via les applications Salesloft Drift et Gainsight en 2025. Klue a d'ailleurs suspendu en urgence ses intégrations avec une dizaine de plateformes — HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive, Slack — révélant l'ampleur d'un tissu connecté qui représente autant de périmètres potentiellement exposés.
Des actifs commerciaux, une cible lucrative
Les données exfiltrées ne sont pas des données personnelles au sens habituel du terme : ce sont des actifs commerciaux — contacts clients, devis, opportunités de vente, historiques de communication, rapports de veille concurrentielle. Pour un groupe d'extorsion, leur valeur est immédiate et concrète.
Actif depuis avril 2026, Icarus s'est spécialisé dans ce type d'opération : cibler les informations commerciales sensibles, puis menacer de les publier pour contraindre les victimes à payer. Les entreprises touchées ont confirmé la compromission et prévenu leurs clients exposés. Salesforce a réagi en désactivant l'intégration Klue Battlecards sur sa marketplace d'applications.
Ce que cela impose aux équipes IT
L'incident soulève des questions directes pour les DSI et RSSI : qui audite régulièrement les tokens OAuth accordés aux applications tierces ? Qui vérifie qu'une credential créée pour un projet expérimental abandonné n'est plus active ?
La gestion du cycle de vie des intégrations — révocation des accès obsolètes, limitation des permissions OAuth, détection des appels API anormaux — est devenue un sujet de sécurité à part entière, distinct de la seule hygiène IT. Pour les éditeurs SaaS eux-mêmes, l'affaire rappelle une responsabilité symétrique : le code d'intégration qu'ils déploient dans l'environnement de leurs clients peut devenir un vecteur d'attaque contre ces mêmes clients.