Quand la MFA n’est pas vraiment de la MFA — comment Retool a subi une attaque de phishing

 (retool.com)
5 points par GN⁺ 2023-09-14 | 2 commentaires | Partager sur WhatsApp
  • Le 29 août 2023, Retool a signalé que 27 comptes clients cloud avaient fait l’objet d’un accès non autorisé à la suite d’une attaque de spear phishing
  • L’attaque a commencé par une campagne de phishing par SMS, au cours de laquelle des employés ont reçu des messages se faisant passer pour le service informatique au sujet d’un problème de compte
  • Un employé a suivi le lien fourni dans le SMS pour se connecter, ce qui l’a redirigé vers un faux portail contenant un formulaire d’authentification multifacteur (MFA)
  • Les attaquants, se faisant passer pour un membre de l’équipe IT, ont appelé l’employé pour obtenir des codes MFA supplémentaires, ce qui leur a permis d’ajouter un appareil personnel au compte Okta de l’employé
  • Les attaquants ont ensuite pu créer leur propre MFA Okta, ce qui a activé une session GSuite depuis leur appareil
  • Les attaquants ont ensuite accédé à tous les jetons MFA du compte Google compromis, ce qui leur a permis d’accéder aux systèmes internes de Retool et de mener des attaques de prise de contrôle sur certains comptes clients
  • Retool a réagi en révoquant toutes les sessions d’authentification internes, en restreignant l’accès aux comptes concernés, en informant les clients touchés et en restaurant leurs comptes à leur état initial
  • Les clients on-premise de Retool n’ont pas été affectés, car ils opèrent dans un environnement « zero trust » et sont totalement isolés
  • Cet incident met en évidence les faiblesses de la MFA reposant sur des OTP logiciels, ainsi que les risques liés à la fonction de synchronisation cloud de Google Authenticator
  • Retool suggère que Google supprime les dark patterns de Google Authenticator (qui poussent à activer la synchronisation cloud) ou fournisse aux organisations un moyen de la désactiver
  • L’entreprise souligne l’importance de la sensibilisation au social engineering ainsi que la nécessité de systèmes capables d’empêcher qu’une erreur humaine n’affecte l’ensemble du système
  • Retool a déjà mis en place en interne des workflows human-in-the-loop et prévoit de les intégrer aussi à ses produits destinés aux clients
  • L’entreprise recommande aux clients de bien comprendre leur propre modèle de menace et d’intégrer des protections supplémentaires, comme des flux d’escalade exigeant l’approbation de plusieurs employés pour exécuter certaines actions

À lire aussi

2 commentaires

 
kunggom 2023-09-15

D’après ce qui est décrit, on dirait bien que quelqu’un connaissant assez bien la situation interne de l’entreprise a tenté une attaque de spear phishing.
Il connaissait non seulement les processus internes de l’entreprise, mais il est même allé jusqu’à passer un appel en utilisant une voix deepfake synthétisée à partir de celle d’un véritable employé.
Et en plus, neutraliser l’OTP via la fonction de synchronisation cloud de Google Authenticator… assez terrifiant.
 
GN⁺ 2023-09-14
Avis Hacker News
  • Cet article traite d’une attaque de phishing sophistiquée qui a exploité l’authentification multifacteur (MFA) et utilisé la technologie du deepfake.
  • Des commentateurs suggèrent que les codes MFA basés sur le cloud sont vulnérables et recommandent le MFA par SMS comme alternative plus sûre.
  • L’importance de la sensibilisation à la sécurité est soulignée, avec le conseil de contacter le demandeur via un canal connu et fiable pour vérifier toute demande d’information inattendue.
  • Des doutes sont exprimés quant à l’usage de la technologie deepfake dans l’attaque, en raison de la quantité d’informations internes nécessaires.
  • L’entreprise est critiquée pour ne pas avoir utilisé de 2FA matérielle, jugée plus sûre et moins coûteuse.
  • Des questions sont soulevées sur le fait que Google recommande de synchroniser les codes dans le cloud, avec la suggestion d’utiliser des sauvegardes chiffrées et FIDO2 pour améliorer la sécurité.
  • Les OTP (mots de passe à usage unique) sont considérés comme dépassés, et des authentificateurs résistants au phishing comme U2F, WebAuthn et les passkeys sont recommandés comme alternatives.
  • La sophistication de l’attaque est relevée, notamment le deepfake de la voix d’un employé et la connaissance des processus internes de l’entreprise.
  • L’attitude de l’entreprise en matière de sécurité est critiquée, avec l’idée que les mesures de sécurité de base devraient être corrigées.
  • La divulgation détaillée de l’attaque est saluée pour son accessibilité et pour l’aide qu’elle peut apporter à la communauté afin d’améliorer les mesures de sécurité.
  • Des interrogations sont soulevées sur la manière dont les attaquants ont pu obtenir suffisamment d’enregistrements de la voix d’un employé pour créer un deepfake, ce qui laisse penser à une possible implication interne.
  • Cet incident suscite des inquiétudes quant à l’enregistrement des conversations et à une possible fuite des processus internes.