Icarus vole des données Salesforce via une faille Klue OAuth

Comment Icarus a transformé Klue en arme contre ses propres clients

Le 11 juin 2026, un nouveau groupe cybercriminel baptisé Icarus a réussi à s'introduire dans les systèmes de Klue, une plateforme SaaS canadienne spécialisée dans le renseignement concurrentiel. L'attaque, révélée publiquement le 18 juin par la société de cybersécurité Huntress dans une analyse intitulée "security domino effect", illustre avec acuité les risques liés aux chaînes d'approvisionnement logicielles et à l'interconnexion croissante des outils SaaS d'entreprise. BleepingComputer et Help Net Security ont confirmé les détails le 19 juin 2026.

Le vecteur d'accès initial était un identifiant API dormant, créé à l'origine pour un prototype d'intégration tierce abandonné et jamais révoqué dans les systèmes de production de Klue. Ce type de credential oublié — parfois désigné sous le terme de "ghost credential" ou "zombie API key" — est une vulnérabilité particulièrement insidieuse dans les environnements DevOps modernes, où les intégrations s'accumulent au fil du temps sans processus de revue et de nettoyage systématique. Icarus a découvert et exploité ce credential pour accéder à l'infrastructure backend de Klue sans déclencher d'alertes immédiates.

Une fois à l'intérieur, les attaquants ont adopté une stratégie plus sophistiquée que le simple vol de données internes. Ils ont poussé une mise à jour de code malveillante dans l'infrastructure de la plateforme, spécifiquement conçue pour intercepter et collecter les jetons OAuth que les clients de Klue utilisaient pour connecter la plateforme à leurs outils d'entreprise. Cette technique transforme la plateforme victime en vecteur d'attaque silencieux contre ses propres clients — une méthode qui contourne les défenses périmètriques des entreprises cibles en exploitant leurs canaux de confiance.

Les services ciblés par la collecte de jetons OAuth sont particulièrement sensibles : Salesforce (CRM), HubSpot (marketing automation), SharePoint (gestion documentaire), Zoom (communications vidéo), Gong et Chorus (intelligence conversationnelle), Clari (prévision des revenus), Google Drive et Slack. Ces plateformes concentrent l'essentiel de la propriété intellectuelle commerciale d'une entreprise : données clients, pipelines de vente, conversations commerciales enregistrées, documents stratégiques internes et informations sur les cycles de vente en cours.

Avec ces jetons OAuth en main, Icarus a pu se connecter aux instances Salesforce et Gong des clients de Klue en se faisant passer pour l'intégration légitime, sans avoir à compromettre directement ces plateformes ni à voler des identifiants utilisateur. Salesforce a réagi en désactivant l'intégration Klue Battlecards le 11 juin après avoir détecté une activité inhabituelle. L'accès non autorisé aux données CRM s'est donc déroulé sous le couvert d'une connexion techniquement légitime aux yeux des systèmes de contrôle d'accès de Salesforce.

Parmi les victimes confirmées figure Huntress, société américaine de cybersécurité spécialisée dans les services MDR (Managed Detection and Response) pour les PME et les entreprises, qui compte parmi les acteurs les plus respectés du secteur. Huntress a publié le 18 juin une analyse circonstanciée de l'incident, décrivant comment la compromission de Klue a conduit à l'accès non autorisé à ses propres données Salesforce et Gong. Recorded Future, acteur majeur de la threat intelligence, a également confirmé avoir été touché. Selon les analyses de ReliaQuest et SecurityWeek, la liste des victimes continue de s'allonger, avec plusieurs entreprises dont les noms n'ont pas encore été divulgués.

Le groupe Icarus, actif depuis le 28 avril 2026 selon Huntress, signe ses communications d'extorsion du pseudonyme "Mr. Bean" et opère un site de fuite sur le dark web. La correspondance entre l'identifiant Session Messenger fourni dans les emails d'extorsion et celui associé au site de fuite confirme l'attribution de l'attaque à ce groupe. Contrairement aux groupes ransomware traditionnels, Icarus ne semble pas déployer de malware chiffrant — il opère comme un groupe d'extorsion pure, menaçant de publier les données volées si la rançon n'est pas versée, selon un modèle similaire à Lapsus$ en 2022.

La méthode d'Icarus est particulièrement difficile à détecter en temps réel car elle exploite des connexions techniquement légitimes. Pour les équipes de sécurité surveillant les logs d'accès Salesforce, les connexions arrivaient depuis les adresses IP de Klue, avec des jetons OAuth valides, reproduisant exactement le comportement d'une intégration normale. Seule une analyse comportementale fine — comparant les horaires d'accès, les volumes de données consultées et les endpoints API appelés aux patterns habituels — aurait pu révéler l'anomalie en temps réel.

Un vecteur d'attaque qui redéfinit la surface d'exposition des entreprises

Cette attaque s'inscrit dans une tendance lourde de 2025-2026 : l'exploitation des interconnexions entre plateformes SaaS comme vecteur d'attaque indirect contre des cibles de haute valeur. En 2023, des acteurs liés à la Chine avaient compromis des jetons d'authentification Microsoft Exchange pour accéder aux boîtes mail de plusieurs agences gouvernementales américaines. En 2024, la vague d'incidents impliquant la plateforme Snowflake avait démontré comment une seule compromission cloud pouvait exposer des centaines d'organisations clientes. L'incident Klue représente une évolution supplémentaire : le code malveillant est directement injecté dans la plateforme intermédiaire pour transformer une fonctionnalité de productivité en outil d'espionnage.

Pour les responsables de la sécurité, cet incident soulève une question fondamentale souvent négligée dans les revues de risque : combien de credentials API, de tokens OAuth et de secrets d'intégration dormants existent dans les environnements de production ? La surface d'attaque des entreprises modernes n'est plus définie par leur périmètre réseau traditionnel, mais par l'ensemble des connexions autorisées vers des services tiers qui ont accumulé des droits d'accès au fil des années. C'est précisément ce que les réglementations DORA et NIS2 entendent adresser via leurs exigences de gestion des risques liés aux tiers (TPRM), en imposant un inventaire et une surveillance continue des fournisseurs critiques.

La compromission de Huntress illustre de façon saisissante que même les organisations les plus conscientes des risques cybersécurité peuvent être victimes de vecteurs d'attaque indirects via la chaîne logicielle. Cela renforce plusieurs recommandations pratiques prioritaires : l'audit régulier et la révocation des credentials et scopes OAuth inutilisés (politique de "credential lifecycle management"), l'application stricte du principe de moindre privilège aux intégrations tierces, et la mise en place de politiques Zero Trust même pour les connexions SaaS-à-SaaS.

Les entreprises dont des données à caractère personnel ont été accessibles via les comptes Salesforce compromis devront notifier leurs propres clients en vertu du RGPD si elles opèrent dans l'Union Européenne, dans le délai de 72 heures imposé par le texte. Cela crée un effet de cascade réglementaire qui amplifie considérablement l'impact de l'attaque initiale et souligne l'importance d'avoir des procédures de réponse aux incidents couvrant explicitement les scénarios de compromission via tiers.

Ce qu'il faut retenir

• Icarus a utilisé un credential API abandonné chez Klue pour injecter du code malveillant récoltant les jetons OAuth des clients et accéder à leurs données Salesforce, HubSpot, Gong et Slack.
• Les sociétés de cybersécurité Huntress et Recorded Future comptent parmi les victimes confirmées, illustrant que la chaîne logicielle SaaS représente un vecteur d'attaque redoutable même pour les organisations les plus averties.
• Mesure d'urgence : auditer et révoquer tous les credentials API et tokens OAuth dormants dans vos environnements de production, et appliquer le principe de moindre privilège aux scopes OAuth de vos intégrations tierces.