Un pirate informatique a utilisé l’IA pour deepfake la voix d’un employé et s’introduire dans une entreprise informatique.
La violation, qui a pris au piège 27 clients du cloud, s'est produite le mois dernier chez Retool, une entreprise qui aide ses clients à créer des logiciels d'entreprise.
Le pirate informatique a déclenché l’intrusion en envoyant à plusieurs employés de Retool des SMS prétendant provenir d’un membre de l’équipe informatique de Retool qui cherchait à résoudre un problème de paie empêchant les employés de bénéficier d’une couverture santé. La plupart des employés de Retool qui ont reçu le message de phishing se sont abstenus de répondre. , sauf un.
L'employé sans méfiance a cliqué sur une URL dans le message, qui l'a redirigé vers un faux portail Internet pour se connecter. Après s'être connecté au portail, qui comprenait une [authentification multifacteur](https://www.pcmag.com/how- to/multi-factor-authentication-2fa-who-has-it-and-how-to-set-up), le pirate informatique a appelé l'employé tout en utilisant un deepfake alimenté par l'IA.
"L'appelant a prétendu être l'un des membres de l'équipe informatique et a falsifié la voix réelle de notre employé", a déclaré Retool dans le rapport. « La voix connaissait le plan du bureau, les collègues et les processus internes de l'entreprise. Tout au long de la conversation, l’employé est devenu de plus en plus méfiant, mais a malheureusement fourni à l’attaquant un code d’authentification multifacteur (MFA) supplémentaire.
L'incident suggère que le mystérieux attaquant a peut-être déjà infiltré Retool dans une certaine mesure avant d'appeler l'employé. Une fois le code multifacteur abandonné, l’attaquant a ajouté son propre appareil au compte de l’employé et s’est orienté vers l’accès à son compte GSuite.
Retool affirme que l'accès à GSuite a été particulièrement dévastateur depuis que l'application Authenticator de Google a récemment intégré une [synchronisation dans le cloud](https://www.pcmag.com/news/google-authenticator-now-syncs-your-one-time-codes-across- appareils). Cela signifie que vos codes d'authentification multifacteur peuvent être consultés sur plusieurs appareils, comme un smartphone et une tablette synchronisés avec le compte.
Google a ajouté la synchronisation cloud afin que les utilisateurs puissent accéder aux codes MFA en cas de perte ou de vol de leur téléphone. Mais Retool souligne un inconvénient majeur de cette approche : « Si votre compte Google est compromis, vos codes MFA le sont désormais également. »
"Le fait que l'accès à un compte Google donne immédiatement accès à tous les jetons MFA détenus dans ce compte est la principale raison pour laquelle l'attaquant a pu pénétrer dans nos systèmes internes", ajoute la société.
Bien que Retool ait depuis révoqué l’accès du pirate informatique, il a décidé de divulguer l’incident pour avertir les autres entreprises de se protéger contre des attaques similaires. "L'ingénierie sociale est un vecteur d'attaque très réel et crédible, et n'importe qui peut devenir une cible", indique-t-il. "Si votre entreprise est suffisamment grande, il y aura quelqu'un qui cliquera involontairement sur un lien et se fera hameçonner."
L'entreprise a également exhorté Google à modifier son application d'authentification afin de permettre aux entreprises de désactiver plus facilement la fonction de synchronisation dans le cloud pour leurs employés. Google n'a pas immédiatement répondu à une demande de commentaire.