Retool - contournement MFA par SMS

Point de compromission dans la chaîne Rupture · étape Secrets

Source

amont

Dépendances

deps

Build & CI

ci

Packaging

artefact

Release

Secrets

Registres

distribution

Déploiement

admission

Runtime

exécution

Rayon d'explosion — compromission à l'étape Secrets, propagation possible aux consommateurs. Domaines : Poste de travail, Cloud

Gravité faible

Phishing par SMS et ingénierie sociale conduisant à contourner une MFA basée SMS et à accéder à des comptes clients.

deepfake

voix usurpée

MFA cloud

sync. exploitée

Google

compte pivot

fonds

clients ciblés

En bref

Date

13/09/2023

Gravité

Faible

Étape de la chaîne

Secrets

Domaines SOCLE

Poste de travail+ Cloud

Que s'est-il passé ?

Contexte

Retool, plateforme de développement, subit une attaque par spear phishing et deepfake vocal : le compte Google d'un employé, servant à la synchronisation cloud des MFA, est compromis.

Mécanisme

La synchronisation cloud des codes MFA permet à l'attaquant, une fois le compte Google pris, de contrôler des comptes clients Retool, puis de compromettre un portail développeur bâti sur Retool.

Impact

L'attaquant parvient à contrôler des fonds de clients finaux via le portail compromis. L'incident illustre le chaînage : ingénierie sociale puis compte puis outillage de dev puis clients.

Parades

MFA matérielle non synchronisée dans le cloud (clés FIDO2), désactiver la synchronisation cloud des codes, vérification d'identité renforcée contre le deepfake vocal, et moindre privilège.

Comment l'attaquant a procédé

Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :

V-CLD-8 Contournement / désactivation du MFA V-WKS-4 Malware sur poste (faux entretien)

La leçon à en tirer

Ce qu'il faut retenir

Proscrire la MFA par SMS ; préférer une MFA résistante au phishing (clés matérielles).

Les exigences SOCLE qui auraient limité cet incident

Cet incident se rattache à 19 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :

Cloud SOCLE-CLD-CMP-6SOCLE-CLD-IAM-11SOCLE-CLD-IAM-3SOCLE-CLD-IAM-5SOCLE-CLD-LOG-1

Poste de travail SOCLE-WKS-GEN-1SOCLE-WKS-GEN-2SOCLE-WKS-GEN-3SOCLE-WKS-GEN-5SOCLE-WKS-HRD-1SOCLE-WKS-HRD-2SOCLE-WKS-HRD-3SOCLE-WKS-HRD-4SOCLE-WKS-HRD-5SOCLE-WKS-PRV-1SOCLE-WKS-PRV-2SOCLE-WKS-PRV-3SOCLE-WKS-PRV-4SOCLE-WKS-PRV-5

Pour aller plus loin

Source d'origineLe compte rendu détaillé de l'incident Vecteurs : SecretsLes attaques de cette étape de la chaîne Tous les incidentsLe catalogue filtrable

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →