Vulnérabilités de LeakyLooker

Des chercheurs en cybersécurité ont révélé un ensemble de neuf vulnérabilités inter-locataires dans Google Looker Studio qui auraient pu permettre à des attaquants d'exécuter des requêtes SQL arbitraires sur les bases de données des victimes et d'extraire des informations sensibles des environnements organisationnels exécutés sur Google Cloud Platform.

L'ensemble des failles a été baptisé LeakyLooker. Les chercheurs ont signalé ces problèmes par divulgation responsable en juin 2025, et les vulnérabilités ont depuis été corrigées. À l'heure actuelle, rien n'indique que ces failles aient été exploitées lors d'attaques réelles.

Les analystes en sécurité avertissent que ces failles compromettent les hypothèses architecturales fondamentales de la plateforme et introduisent une nouvelle catégorie d'attaques jusqu'alors inconnue, capables de manipuler ou d'extraire des données sur plusieurs environnements cloud.

Les neuf vulnérabilités de la surface d’attaque de LeakyLooker

L'étude a identifié neuf failles distinctes affectant différents composants de la plateforme et ses connecteurs de données. Ces vulnérabilités incluent :

• Accès non autorisé entre locataires via une injection SQL sans clic sur les connecteurs de base de données
• Accès non autorisé entre locataires via une injection SQL sans clic utilisant des identifiants stockés
• Injection SQL inter-locataires ciblant BigQuery via des fonctions natives
• Exposition des sources de données interlocataires via des hyperliens
• Injection SQL inter-locataires affectant Spanner et BigQuery via des requêtes personnalisées sur la source de données d'une victime
• Injection SQL inter-locataires via l'API de liaison Looker, affectant BigQuery et Spanner
• Fuite de données entre locataires via le rendu d'images
• Fuite XS inter-locataires sur des sources de données arbitraires utilisant le comptage d'images et des canaux auxiliaires basés sur le temps
• Attaques par déni de portefeuille inter-locataires via la consommation de ressources BigQuery

Collectivement, ces problèmes pourraient permettre à des adversaires de récupérer, d'insérer ou de supprimer des données provenant de services victimes fonctionnant dans des environnements Google Cloud.

Exposition généralisée via les connecteurs de données

Ces vulnérabilités représentaient un risque pour les organisations utilisant un large éventail d'intégrations de données Looker Studio. L'écosystème concerné comprend de nombreuses plateformes de stockage et bases de données couramment utilisées en entreprise, notamment Google Sheets, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL et Google Cloud Storage.

Toute organisation utilisant ces connecteurs dans les tableaux de bord Looker Studio pourrait potentiellement avoir été affectée, car les vulnérabilités permettaient aux attaquants de franchir les limites des locataires et d'accéder aux ressources appartenant à différents projets cloud.

Voies d’exploitation : des signalements publics au contrôle des bases de données

Les scénarios d'attaque décrits par les chercheurs montrent comment des attaquants pourraient exploiter des tableaux de bord accessibles au public ou accéder à des rapports partagés de manière privée. Une fois l'accès obtenu, des acteurs malveillants pourraient exploiter les vulnérabilités pour prendre le contrôle des bases de données connectées.

Un scénario consistait à rechercher des rapports Looker Studio accessibles publiquement et connectés à des sources de données telles que BigQuery. En exploitant des failles d'injection, les attaquants pouvaient exécuter des requêtes SQL arbitraires sur l'ensemble du projet cloud du propriétaire, permettant ainsi une extraction de données à grande échelle.

Une autre méthode d'attaque exploitait une faille logique dans le mécanisme de copie des rapports. Lorsqu'une victime partageait un rapport, publiquement ou avec des utilisateurs spécifiques, et que ce rapport utilisait une source de données JDBC telle que PostgreSQL, les attaquants pouvaient le dupliquer tout en conservant les identifiants du propriétaire initial. Cette faille permettait à des utilisateurs non autorisés d'effectuer des actions telles que la modification ou la suppression de tables de la base de données.

Les chercheurs ont également démontré une technique à fort impact permettant l'exfiltration de données en un seul clic. Dans ce scénario, une victime ouvrant un rapport spécialement conçu déclenchait une activité malveillante dans son navigateur, laquelle communiquait avec un projet contrôlé par un attaquant. Grâce à l'analyse et à la reconstruction des journaux, l'attaquant pouvait reconstituer des bases de données entières à partir des données capturées.

Modèle de confiance brisée : les autorisations des utilisateurs se retournent contre la plateforme

Ces vulnérabilités ont effectivement compromis un principe de conception fondamental de Looker Studio : l’hypothèse selon laquelle les utilisateurs disposant d’un accès de niveau visionneur ne peuvent ni contrôler ni influencer les données sous-jacentes.

En exploitant les failles découvertes, des attaquants pouvaient contourner cette barrière de sécurité et interagir directement avec les services connectés. Cette vulnérabilité a permis l'extraction, la manipulation et l'accès non autorisés aux données entre locataires, affectant des services tels que BigQuery et Google Sheets.

Bien que les vulnérabilités aient désormais été corrigées, ces découvertes soulignent l'importance d'une conception de sécurité rigoureuse dans les plateformes cloud mutualisées, où une simple faille logique peut entraîner une exposition généralisée à travers différents environnements.