Violation des données chez Retool : Google pointé du doigt
La plateforme de développement de logiciels, Retool, a été victime d’une violation de données sophistiquée, orchestrée par un groupe de hackers qui ont réussi à dérober les informations de connexion d’un compte Okta appartenant à un employé de Retool. Cette opération a inclus la création d’un faux portail d’identité interne pour Retool et l’usurpation d’identité d’un employé pour pousser la victime à partager son code d’authentification à multiples facteurs (MFA).
Retool, qui utilise l’outil MFA de Google, Authenticator, pointe du doigt la responsabilité de Google dans cet incident. Selon Snir Kodesh, directeur de l’ingénierie de Retool, une nouvelle fonctionnalité introduite par Google dans Authenticator, qui permet aux utilisateurs de rester connectés à l’outil sur plusieurs points de terminaison, a aidé les attaquants à accéder à Authenticator et, par conséquent, à Okta.
« Grâce à ces codes (et à la session Okta), l’attaquant a pu accéder à notre VPN et, surtout, à nos systèmes d’administration interne », a déclaré Kodesh. « Cela leur a permis de lancer une attaque de prise de contrôle de compte sur un ensemble spécifique de clients (tous dans l’industrie de la crypto). Après avoir pris le contrôle de leurs comptes, l’attaquant a fouillé certaines des applications Retool. »
Face à cette situation, Kodesh estime que Google devrait soit éliminer ses « dark patterns » dans Google Authenticator (qui encouragent la sauvegarde des codes MFA dans le cloud), soit au moins donner aux organisations la possibilité de le désactiver.
Cependant, Google a répondu de manière relativement douce à ces accusations. Il a rappelé à Kodesh que la fonction de synchronisation est facultative et a suggéré de passer des mots de passe à des méthodes d’authentification plus sécurisées, comme les clés de passe.
« La sécurité de tous les utilisateurs en ligne, qu’ils soient des consommateurs ou des entreprises, est notre première priorité, et cet événement est un autre exemple de pourquoi nous restons dévoués à améliorer nos technologies d’authentification », a déclaré un porte-parole de Google. « Nous voulons faire savoir aux utilisateurs de Google Authenticator qu’ils ont le choix de synchroniser leurs OTP avec leur compte Google ou de les stocker uniquement localement. Nous continuerons de travailler à l’équilibre entre la sécurité et la facilité d’utilisation pour les améliorations futures de Google Authenticator. »