La faute à Google ? Retool n’est pas loin de présenter les choses ainsi.
Cet éditeur américain fournit des solutions de développement logiciel à des entreprises parmi lesquelles Amazon, Snowflake et Mercedes-Benz. Fin août, il a subi une attaque qui a exposé les comptes d’une trentaine de ses clients.
À l’origine, il y a un phishing par SMS. Le message semblait provenir d’un membre de l’équipe IT. Il a été adressé à plusieurs employés. Le sujet : problème avec votre compte, susceptible d’affecter votre couverture santé ; prière de vous reconnecter.
Le message contenait un lien qui paraissait mener au portail d’authentification interne de Retool – qui venait de migrer vers Okta. Un employé a mordu à l’hameçon, fournissant login, mot de passe et code MFA. L’attaquant l’a ensuite appelé par téléphone. Imitant la voix du soi-disant expéditeur du message et démontrant une connaissance des processus internes de l’entreprise, il est parvenu à soutirer à sa victime un autre jeton MFA.
Ce token était critique : il a permis à l’attaquant d’ajouter un appareil au compte Okta de l’employé. Et ainsi de se connecter, entre autres, à son compte Google… pour y récupérer d’autres tokens. Qui lui ont permis d’accéder au VPN et, en bout de chaîne, à des systèmes internes, dont une instance de support client. C’est elle qui a servi à compromettre la trentaine de comptes concernés.
La présence de ces tokens dans le compte Google de l’employé avait échappé aux admins de Retool. Elle était due à la fonctionnalité de synchronisation cloud introduite au printemps dans Google Authenticator.
Si on installe l’app depuis le Play Store et qu’on suit la marche suggérée, la fonctionnalité s’enclenche par défaut, regrette-t-on chez Retool. Et de pointer les « dark patterns » que Google emploierait pour s’assurer non seulement de cette activation, mais aussi pour compliquer la désactivation (option de dissociation de compte difficile à trouver*, pas de possibilité de coupure par les admins…).
Dans un tel contexte, « ce qu’on avait implémenté comme de l’authentification à facteurs multiples est devenu, sous les radars, de l’authentification à facteur unique », résume Retool. La prise de contrôle du compte Okta a effectivement suffi à donner les clés aux attaquants.
Tous les clients touchés sont dans le secteur des cryptos, nous assure-t-on. Fortress Trust semble être l’un d’entre eux. Il avait temporairement perdu, début septembre, pour 15 M$ d’actifs.
* Dans la pratique, Google Authenticator propose une option « Utiliser Authenticator sans compte » accessible en cliquant sur le bage de compte en haut à droite.
À consulter en complément :
Attaques contre le MFA : des normes spécifiques et la biométrie peuvent les contrer
Gestion des identités dans le cloud : trois retours d’expérience
Dans le sillage de GitHub, PyPi impose le MFA
Mots de passe : la rotation est-elle encore une solution ?
Illustration générée par IA
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…