Intrusion chez Klue : les faits
En juin 2026, la société d’études de marché Klue a confirmé avoir été victime d’une intrusion massive. Les cybercriminels, identifiés sous le nom d’« Icarus », ont pénétré dans les serveurs de l’entreprise et dérobé un volume important d’informations appartenant à une trentaine de clients, parmi lesquels des géants comme Gong, Jamf, HackerOne ou LastPass.
Dialogue avec les malfaiteurs
Contrairement à de nombreuses affaires où la victime reste muette, Klue a choisi de communiquer avec le groupe. Selon un courrier confidentiel partagé avec ses clients, Icarus aurait annoncé prendre des mesures pour effacer les données volées. Le site Web de l’assaillant était d’ailleurs inaccessible au moment de la vérification, ce qui laisse penser à une tentative d’effacement réelle.
Une deuxième menace apparaît
Dans les jours qui ont suivi, la situation s’est compliquée. Un autre collectif d’intrus, resté anonyme, a publié une liste d’environ 195 entreprises prétendument compromises, affirmant s’être emparé des mêmes informations directement d’Icarus. Ce groupe aurait même évoqué un paiement effectué à « Icarus », supposément réalisé par un adolescent basé au Royaume-Uni ou dans les pays voisins.
Les nouveaux hackers ont menacé de divulguer l’ensemble des dossiers si aucune rançon n’était versée, tout en précisant qu’ils ne possédaient que des extraits, pas l’intégralité des données.
Conseils de Klue aux clients
Face à cette pression, Klue a exhorté ses clients à ne pas céder aux exigences du deuxième groupe. L’entreprise recommande de demander à ces cybercriminels un échantillon aléatoire, afin de vérifier la véracité de leurs revendications avant toute éventuelle transaction.
Comment les données ont été dérobées ?
Les enquêteurs ont indiqué que les hackers se sont servis d’un identifiant tiers datant de 2022, intégré dans un programme pilote limité. Grâce à cet accès, ils ont récupéré des jetons d’authentification OAuth, leur permettant de se connecter aux environnements cloud et bases de données des clients de Klue. Les détails concernant l’identité du détenteur de cet identifiant et les raisons de son maintien actif pendant quatre ans restent flous.
État actuel de la crise
À ce jour, le site d’Icarus demeure hors ligne, et aucun des deux groupes n’a publiquement divulgué les informations revendiquées. Klue continue d’informer sa clientèle et de renforcer ses mesures de sécurisation afin d’empêcher toute nouvelle compromission.