Une société de sécurité dénonce une fonctionnalité de l’application d’authentification de Google qui, selon elle, a aggravé une récente violation du réseau interne.
Retool, qui aide les clients à sécuriser leurs plates-formes de développement logiciel, a formulé cette critique mercredi dans un article révélant une compromission de son système de support client. La violation a donné aux attaquants un accès responsable aux comptes de 27 clients, tous issus du secteur des cryptomonnaies. L’attaque a commencé lorsqu’un employé de Retool a cliqué sur un lien dans un message texte prétendant provenir d’un membre de l’équipe informatique de l’entreprise.
« Motifs sombres »
Il a averti que l’employé ne pourrait pas participer à l’inscription ouverte à la couverture de soins de santé de l’entreprise jusqu’à ce qu’un problème de compte soit résolu. Le texte est arrivé alors que Retool était en train de déplacer sa plateforme de connexion vers la société de sécurité Okta. (Okta lui-même a révélé la violation de l’un de ses ingénieurs de support client tiers l’année dernière et la compromission des comptes de superutilisateur Okta de quatre de ses clients ce mois-ci, mais la notification de mercredi ne faisait mention d’aucun de ces événements.)
La plupart des employés de Retool ciblés n’ont pris aucune mesure, mais l’un d’eux s’est connecté au site lié et, sur la base du libellé de la divulgation mal écrite, a probablement fourni à la fois un mot de passe et un mot de passe temporaire à usage unique, ou TOTP, de l’authentificateur Google.
Peu de temps après, l’employé a reçu un appel téléphonique d’une personne prétendant être un membre de l’équipe informatique et connaissant « le plan du bureau, les collègues et les processus internes de notre entreprise ». Lors de l’appel, l’employé a fourni un « code multifacteur supplémentaire ». C’est à ce stade, affirme la divulgation, qu’une fonctionnalité de synchronisation ajoutée par Google à son authentificateur en avril a amplifié la gravité de la violation, car elle a permis aux attaquants de compromettre non seulement le compte de l’employé, mais également une multitude d’autres comptes de l’entreprise.
« Le jeton OTP supplémentaire partagé lors de l’appel était essentiel, car il permettait à l’attaquant d’ajouter son propre appareil personnel au compte Okta de l’employé, ce qui lui permettait de créer son propre Okta MFA à partir de ce moment-là », a déclaré Snir Kodesh, responsable de l’ingénierie de Retool. a écrit. « Cela leur a permis d’avoir une session GSuite active sur cet appareil. Google a récemment publié la fonctionnalité de synchronisation Google Authenticator qui synchronise les codes MFA avec le cloud. Comme l’a noté Hacker News, cela est très peu sécurisé, car si votre compte Google est compromis, vos codes MFA le sont désormais également.
Le message n’est pas clair sur une variété de choses. Par exemple, par « jeton OTP », Kodesh entendait-il un mot de passe à usage unique renvoyé par l’authentificateur Google, la longue chaîne de chiffres qui forme la graine cryptographique utilisée pour générer les OTP, ou autre chose ? Dans un e-mail demandant des éclaircissements, Kodesh a refusé de commenter, citant une enquête en cours menée par les forces de l’ordre.