Acquis par Ripple début septembre, le Fiducie de forteresse a reconnu la semaine dernière un piratage de 15 millions de dollars (72 millions de reais). Affirmant que ses systèmes sont intacts, l’entreprise a blâmé un fournisseur tiers.
Un tel fournisseur est Réoutiller. Dans une note publiée mercredi (13), l’entreprise a également imputé la faute à un tiers : Google.
Tout en admettant qu’un employé a été victime d’une escroquerie par phishing à la fin du mois dernier, elle affirme également qu’une nouvelle fonctionnalité de sauvegarde de Authentificateur Google a contribué au piratage d’un million de dollars qui avait pour cible plusieurs entreprises du secteur des crypto-monnaies.
La sauvegarde critiquée de Google Authenticator
En avril de cette année, Google a annoncé qu’Authenticator, son application d’authentification à deux facteurs (2FA), se dotait d’une nouvelle fonctionnalité. Grâce à lui, les utilisateurs pourraient sauvegarder ces données dans le cloud, en se connectant simplement pour y accéder.
Cette nouvelle fonctionnalité a été traitée comme une faille de sécurité majeure par plusieurs personnes. Binance, le plus grand courtier de crypto-monnaie au monde, a été l’un des premiers à demander à ses utilisateurs de désactiver cette option, soulignant que la commodité ne justifiait pas le risque.
Après tout, si votre compte Google était piraté, les pirates auraient un accès complet à tous les codes 2FA trouvés dans l’application.
Fortress Trust accuse Retool
Dans note Publié le 7 septembre, Fortress Trust a déclaré que ses clients avaient été impactés par une attaque visant son fournisseur de services.
« La semaine dernière, 4 clients de Fortress ont été touchés par un fournisseur tiers dont les outils cloud ont été compromis »a écrit la société sur Twitter. « Nous avons immédiatement mis fin à l’intégration des fournisseurs et, par mesure de précaution, avons suspendu tous les comptes pour évaluer et garantir la sécurité de l’ensemble du système. »
Bien que le tweet indique également qu’il n’y a eu aucune perte de fonds, la semaine suivante, Scott Purcell, fondateur de Fortress, a déclaré à Fortune que son entreprise avait perdu entre 58 et 72 millions de reais (12 à 15 millions de dollars) dans l’attaque.
Retool blâme la nouvelle fonctionnalité de Google
Mercredi (13), Snir Kodesh, responsable de l’ingénierie chez Retool, a supposé que son entreprise avait été victime d’une attaque de phishing fin août. L’attaque a touché 27 entreprises clientes de Retool, dont Fortress Trust.
Selon le rapport, plusieurs employés de Retool ont été la cible d’ingénierie sociale. Dans les messages, les pirates se faisaient passer pour les clients de l’entreprise, demandant aux employés d’accéder à un lien pour résoudre un problème dans leurs systèmes.
Même si presque tous les employés ont ignoré les messages, l’un d’entre eux a fini par tomber dans le piège de l’arnaque. Après s’être connecté au faux portail, l’employé a reçu un appel et a fourni un code d’authentification supplémentaire à deux facteurs à l’attaquant.
« Cela leur a permis d’avoir une session GSuite active sur cet appareil »commente Kodesh. « Google a récemment lancé la fonctionnalité de synchronisation Google Authenticator qui synchronise les codes MFA (authentification multifacteur) avec le cloud. Ceci est très peu sécurisé, car si votre compte Google est compromis, vos codes MFA le sont également.
« Malheureusement, Google utilise des normes obscures pour vous convaincre de synchroniser vos codes MFA avec le cloud, et notre employé a en fait activé cette ‘fonctionnalité’. »
Enfin, le dirigeant de Retool souligne que les pirates ont eu accès au VPN interne de l’entreprise et à ses systèmes d’administration, leur permettant de prendre le contrôle de plusieurs comptes d’entreprises clientes, toutes actives dans le secteur des cryptomonnaies.
La communauté réagit au piratage et appelle à plus de décentralisation
Grâce aux réseaux sociaux, Jameson Lopp, développeur Bitcoin, rappelé que Scott Purcell, fondateur de Trust Fortress, a également fondé Prime Trust, une société qui a déclaré faillite le mois dernier.
« Quel incendie de benne à ordures. Je ne peux pas croire que quiconque leur ait fait confiance après la façon dont ils ont rompu le Prime Trust.
Mike Belshe, PDG de BitGo, a publié un long texte à propos de la position de Fortress, qui tentait de cacher ce qui s’était passé au début. Bien que son entreprise soit également centralisée, le dirigeant souligne qu’il continuera à lutter pour éliminer l’implication humaine, en veillant à ce que le système financier ne dépende de l’intégrité de personne.
« C’est toute la situation et c’est exactement pourquoi nous avons besoin de décentralisation »a commenté Belshe, soulignant que son entreprise n’a aucun lien avec ce qui s’est passé. « Nous ne pouvons pas continuer à dépendre de l’honnêteté des déposants, des banquiers ou des « tiers de confiance » qui agissent avec intégrité lorsque de mauvaises choses surviennent. »
« De mauvaises choses vont arriver, et la plupart des humains n’ont pas assez de courage pour être honnêtes à ce sujet. »
Enfin, même si les utilisateurs peuvent éviter les services tiers en conservant leurs investissements dans leur propre portefeuille, les failles de sécurité telles que la sauvegarde dans le cloud de Google Authenticator nécessitent une attention particulière. En conclusion, Snir Kodesh, cadre chez Retool, a une nouvelle fois évoqué les dangers de cette nouvelle fonctionnalité.
« Le fait que Google Authenticator se synchronise avec le cloud constitue un nouveau vecteur d’attaque. »
« Ce que nous avions initialement mis en œuvre était une authentification multifacteur, mais grâce à cette mise à jour de Google, ce qui était autrefois une authentification multifacteur est progressivement devenue une authentification à un seul facteur. »» conclut Kodesh.
Voir l’article original en portugais
