Incident de sécurité Klue : Recorded Future exposé via une intégration OAuth Salesforce compromise

🔍 Contexte

Publié le 21 juin 2026 sur le blog officiel de Recorded Future, cet article constitue une communication de transparence adressée aux clients et partenaires de la plateforme CTI, suite à un incident de sécurité impliquant un prestataire tiers.

📅 Chronologie de l’incident

• 12 juin 2026 : début de l’activité non autorisée dans l’environnement de Klue, fournisseur marketing tiers, contenue le même matin
• 17 juin 2026 : confirmation par Recorded Future que des éléments de son compte Salesforce ont été compromis via un token OAuth compromis lié à l’intégration Salesforce-Klue
• Semaine du 21 juin 2026 : notification au CSIRT de Recorded Future et publication de la communication

🎯 Nature de l’attaque

L’attaque a ciblé la couche d’intégration entre Klue et d’autres plateformes SaaS marketing et commerciales. Le vecteur d’accès identifié est un token OAuth compromis associé à l’intégration entre Salesforce et Klue. Recorded Future n’était pas une cible spécifique mais une victime incidente.

📦 Données potentiellement exposées

• Noms de contacts clients et adresses email stockés dans Salesforce
• Informations contractuelles potentiellement incluses
• Aucune donnée de la plateforme core, de l’Intelligence Graph ou des systèmes internes n’a été compromise

🛡️ Réponse à l’incident

• Révocation et verrouillage de tous les tokens OAuth liés à l’intégration Klue
• Engagement direct avec Salesforce pour obtenir des logs supplémentaires
• Revue de toutes les applications tierces intégrées à Salesforce
• Corrélation des adresses IP malveillantes identifiées par Klue avec les logs internes
• Surveillance active des systèmes
• Communication avec les forces de l’ordre
• Publication d’une note sur la plateforme Recorded Future pour permettre aux clients d’évaluer leur exposition à l’écosystème Klue

📰 Type et objectif

Cet article est un post-mortem / rapport d’incident publié par Recorded Future dans une démarche de transparence envers ses clients et partenaires, détaillant l’étendue de la compromission, les actions de remédiation entreprises et l’état de l’investigation en cours.

🧠 TTPs et IOCs détectés

TTP

• T1528 — Steal Application Access Token (Credential Access)
• T1199 — Trusted Relationship (Initial Access)
• T1078 — Valid Accounts (Defense Evasion)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

• ✅ recordedfuture.com — source reconnue (liste interne) (20pts)
• ✅ 3552 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 3 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.recordedfuture.com/blog/klue-security-incident