Récemment, une entreprise de crypto-monnaie, Fortress Trust, a révélé un vol de 15 millions de dollars à la suite d'une cyberattaque. L'enquête a révélé un défaut de conception dans Google Authenticator qui a conduit à une série d'incidents dans plusieurs entreprises avant le vol.
Google Authenticator présente un étrange défaut de conception
Fortress Trust, un dépositaire de crypto-monnaies, a récemment révélé un incident de sécurité qui a permis à l'attaquant de chaparder 15 millions de dollars aux clients de l'entreprise. Selon l'entreprise, la brèche n'a pas affecté les systèmes de l'entreprise mais a plutôt impacté un “fournisseur tiers”, frappant indirectement l'entreprise.
La semaine dernière, 4 clients de Fortress ont été touchés par un fournisseur tiers dont les outils cloud ont été compromis. Heureusement, il n'y a pas de violation au sein de Fortress Technology ou de ses systèmes, les comptes touchés ont été entièrement restaurés, et le plus important, bien sûr, il n'y a pas de perte de fonds.
– Fortress IO (@Fortress_io) 7 septembre 2023
Bien que Fortress Trust n'ait pas initialement nommé le vendeur, il s'est avéré qu'il faisait référence à Retool – un fournisseur de services en nuage. Retool s'est associé à Fortress Trust pour faciliter l'accès de ses clients aux fonds via un portail dédié. Cependant, selon les informations communiquées par Retool au sujet de l'incident, l'entreprise a subi une attaque de phishing qui a fini par toucher les clients de Fortress Trust, entraînant des pertes financières.
Comme indiqué dans son message, l'un des employés de Retool a été la proie d'une attaque par hameçonnage (vishing) dans laquelle les attaquants se sont fait passer pour la voix d'un membre du personnel informatique de l'entreprise pour l'appel d'hameçonnage. L'attaquant a d'abord envoyé un courriel aux Retool, leur demandant de se connecter au lien Okta donné (une fausse URL). L'un des employés s'est engagé avec l'email et s'est connecté à la page web de l'attaquant, ce qui a poussé les attaquants à appeler l'employé et à le piéger pour qu'il partage un OTP MFA.
Une fois cela fait, les attaquants ont accédé au compte Okta de l'employé victime, ont pu générer leurs propres OTP par la suite, et même accéder à la GSuite active sur l'appareil.
C'est là que se trouve la véritable faille. Étant donné le changement récent de Google Authenticator qui synchronise les codes MFA avec le nuage, le compte Google compromis a permis aux attaquants d'accéder à tous les codes MFA associés à Retool et Okta. En fin de compte, en utilisant ces codes, les attaquants ont ouvert une brèche dans les systèmes Retool et le VPN et ont impacté les comptes des clients de Fortress Trust.
Ce que Google a à dire ?
Si l'exploitation de Google Authenticator, telle que démontrée dans la récente attaque, est unique, elle a explicitement mis en évidence un défaut de conception majeur qui, selon Retool, a converti l'authentification à facteurs multiples en authentification à facteur unique pour les administrateurs.
À la suite de cet incident, Google a publié la déclaration suivante, invitant ses clients à adopter des méthodes d'authentification multifactorielle plus sûres, comme l'authentification sans mot de passe. En outre, la société s'est également engagée à améliorer Google Authenticator.
Notre première priorité est la sûreté et la sécurité de tous les utilisateurs en ligne, qu'il s'agisse de consommateurs ou d'entreprises, et cet événement est un autre exemple de la raison pour laquelle nous restons dédiés à l'amélioration de nos technologies d'authentification. Au-delà, nous continuons également à encourager l'évolution vers des technologies d'authentification plus sûres dans leur ensemble, comme les passkeys, qui résistent au phishing.
Les risques d'hameçonnage et d'ingénierie sociale liés aux anciennes technologies d'authentification, comme celles basées sur l'OTP, sont la raison pour laquelle l'industrie investit massivement dans ces technologies basées sur FIDO.
Pendant que nous continuons à travailler sur ces changements, nous voulons nous assurer que les utilisateurs de Google Authenticator savent qu'ils peuvent choisir de synchroniser leurs OTP avec leur compte Google ou de les conserver uniquement en local. En attendant, nous continuerons à travailler sur l'équilibre entre la sécurité et la convivialité lorsque nous envisagerons les futures améliorations de Google Authenticator.
Par ailleurs, Retool a également confirmé qu'il n'y avait aucun impact de l'incident sur son outil sur site et que les 27 comptes piratés avaient tous été restaurés.
Bien qu'il soit désormais résolu, ce fiasco a mis en évidence l'importance de la formation du personnel concernant les cybermenaces, le phishing et les deepfakes afin de prévenir de tels incidents.
Fais-nous part de tes réflexions dans les commentaires.
