La synchronisation cloud des codes MFA pointée du doigt

Clément Bohic,
Linkedin
MFA Retool Google Authenticator

La synchronisation des codes MFA sur Google Authenticator a facilité une attaque contre un éditeur… qui le fait savoir.

La faute à Google ? Retool n’est pas loin de présenter les choses ainsi.

Cet éditeur américain fournit des solutions de développement logiciel à des entreprises parmi lesquelles Amazon, Snowflake et Mercedes-Benz. Fin août, il a subi une attaque qui a exposé les comptes d’une trentaine de ses clients.

À l’origine, il y a un phishing par SMS. Le message semblait provenir d’un membre de l’équipe IT. Il a été adressé à plusieurs employés. Le sujet : problème avec votre compte, susceptible d’affecter votre couverture santé ; prière de vous reconnecter.

Le message contenait un lien qui paraissait mener au portail d’authentification interne de Retool – qui venait de migrer vers Okta. Un employé a mordu à l’hameçon, fournissant login, mot de passe et code MFA. L’attaquant l’a ensuite appelé par téléphone. Imitant la voix du soi-disant expéditeur du message et démontrant une connaissance des processus internes de l’entreprise, il est parvenu à soutirer à sa victime un autre jeton MFA.

Ce token était critique : il a permis à l’attaquant d’ajouter un appareil au compte Okta de l’employé. Et ainsi de se connecter, entre autres, à son compte Google… pour y récupérer d’autres tokens. Qui lui ont permis d’accéder au VPN et, en bout de chaîne, à des systèmes internes, dont une instance de support client. C’est elle qui a servi à compromettre la trentaine de comptes concernés.

Google Authenticator : quand la synchro cloud affaiblit le MFA

La présence de ces tokens dans le compte Google de l’employé avait échappé aux admins de Retool. Elle était due à la fonctionnalité de synchronisation cloud introduite au printemps dans Google Authenticator.

Si on installe l’app depuis le Play Store et qu’on suit la marche suggérée, la fonctionnalité s’enclenche par défaut, regrette-t-on chez Retool. Et de pointer les « dark patterns » que Google emploierait pour s’assurer non seulement de cette activation, mais aussi pour compliquer la désactivation (option de dissociation de compte difficile à trouver*, pas de possibilité de coupure par les admins…).

Dans un tel contexte, « ce qu’on avait implémenté comme de l’authentification à facteurs multiples est devenu, sous les radars, de l’authentification à facteur unique », résume Retool. La prise de contrôle du compte Okta a effectivement suffi à donner les clés aux attaquants.

Tous les clients touchés sont dans le secteur des cryptos, nous assure-t-on. Fortress Trust semble être l’un d’entre eux. Il avait temporairement perdu, début septembre, pour 15 M$ d’actifs.

* Dans la pratique, Google Authenticator propose une option « Utiliser Authenticator sans compte » accessible en cliquant sur le bage de compte en haut à droite.

À consulter en complément :

Attaques contre le MFA : des normes spécifiques et la biométrie peuvent les contrer
Gestion des identités dans le cloud : trois retours d’expérience
Dans le sillage de GitHub, PyPi impose le MFA
Mots de passe : la rotation est-elle encore une solution ?

Illustration générée par IA