Tenable découvre la chaîne de vulnérabilités LeakyLooker dans la plateforme d'intelligence d'affaires de Google
Les chercheurs en sécurité de Tenable ont divulgué neuf vulnérabilités critiques inter-locataires dans Google Looker Studio le 10 mars 2026, collectivement appelées LeakyLooker. La chaîne de vulnérabilités aurait pu permettre aux attaquants d'exécuter des requêtes SQL arbitraires contre les bases de données des victimes et de voler des informations sensibles des environnements Google Cloud à travers les frontières organisationnelles.
L'équipe de recherche a découvert ces failles lors d'une évaluation de sécurité complète de la plateforme d'intelligence d'affaires de Google, qui sert des millions d'utilisateurs dans le monde pour la visualisation et le reporting de données. Looker Studio, anciennement connu sous le nom de Google Data Studio, s'intègre profondément avec les services Google Cloud et se connecte à divers systèmes de bases de données, y compris BigQuery, Cloud SQL et des sources de données externes.
Les vulnérabilités exploitaient des faiblesses dans les mécanismes d'isolation des locataires de Looker Studio, qui sont conçus pour empêcher qu'une organisation accède aux données d'une autre. Selon les découvertes de Tenable, les failles pouvaient être enchaînées pour contourner ces contrôles de sécurité et obtenir un accès non autorisé aux bases de données appartenant à d'autres clients de Google Cloud.
Le vecteur d'attaque impliquait la manipulation de la configuration des sources de données et des mécanismes de traitement des requêtes de Looker Studio. Les chercheurs ont démontré comment un attaquant pouvait créer des connexions de sources de données malveillantes qui exécuteraient des commandes SQL contre des bases de données auxquelles ils ne devraient pas avoir accès. La nature inter-locataire de ces vulnérabilités les rendait particulièrement dangereuses, car elles pouvaient potentiellement affecter toute organisation utilisant Looker Studio avec des sources de données basées sur le cloud.
L'équipe de sécurité de Google a travaillé en étroite collaboration avec les chercheurs de Tenable en suivant les protocoles de divulgation responsable. Les vulnérabilités ont été signalées via le programme de récompense de vulnérabilités de Google, et des correctifs ont été développés et déployés à travers l'infrastructure de Google. L'entreprise a confirmé que toutes les neuf vulnérabilités ont été corrigées et qu'aucune donnée client n'a été compromise pendant le processus de recherche ou de remédiation.
Les clients de Google Cloud utilisant Looker Studio font face à un risque d'exposition inter-locataire
Les vulnérabilités LeakyLooker ont affecté tous les utilisateurs de Google Looker Studio qui ont connecté la plateforme à des bases de données basées sur le cloud, en particulier ceux utilisant des services Google Cloud comme BigQuery et Cloud SQL. Les organisations de tous les secteurs qui s'appuyaient sur Looker Studio pour l'intelligence d'affaires et la visualisation de données étaient potentiellement à risque, y compris les entreprises, les agences gouvernementales, les prestataires de soins de santé et les institutions financières.
La nature inter-locataire de ces vulnérabilités signifiait que toute organisation partageant l'infrastructure cloud multi-locataire de Google pouvait avoir été ciblée. Cela incluait à la fois les petites entreprises utilisant des fonctionnalités de base de Looker Studio et les grandes entreprises avec des architectures de données complexes couvrant plusieurs projets et régions Google Cloud. Le risque était particulièrement élevé pour les organisations qui accordaient de larges permissions de base de données à leurs comptes de service Looker Studio.
Les clients de Google Cloud utilisant des bases de données sur site ou des fournisseurs de cloud tiers connectés via Looker Studio étaient également dans le champ d'impact potentiel. Les vulnérabilités pouvaient être exploitées pour accéder à tout système de base de données auquel Looker Studio avait reçu des privilèges de connexion, indépendamment de l'endroit où la base de données était hébergée. Cette large surface d'attaque rendait la chaîne de vulnérabilités particulièrement préoccupante pour les organisations avec des architectures hybrides ou multi-cloud.
Google déploie des correctifs complets à travers l'infrastructure de Looker Studio
Google a mis en œuvre des correctifs de sécurité complets à travers son infrastructure Looker Studio pour traiter toutes les neuf vulnérabilités LeakyLooker. Les correctifs impliquaient le renforcement des contrôles d'isolation des locataires, la mise en œuvre d'une validation d'entrée supplémentaire pour les configurations de sources de données, et l'amélioration des mécanismes de sandboxing d'exécution des requêtes. Ces changements ont été déployés automatiquement à travers l'infrastructure mondiale de Google sans nécessiter d'action de la part des clients.
Les organisations utilisant Looker Studio devraient revoir leurs configurations de sources de données et leurs permissions d'accès par mesure de précaution. Google recommande de suivre le principe du moindre privilège lors de l'octroi d'accès aux bases de données aux comptes de service Looker Studio. Les administrateurs devraient auditer les connexions de sources de données existantes et s'assurer que les comptes de service n'ont que les permissions minimales nécessaires pour leurs fonctions prévues.
Pour une surveillance de sécurité renforcée, les organisations devraient activer la journalisation d'audit Google Cloud pour leurs instances Looker Studio et examiner les journaux pour tout modèle de requête suspect ou tentative d'accès non autorisé aux données. Le catalogue des vulnérabilités exploitées connues de la CISA fournit des conseils supplémentaires sur la surveillance des signes d'exploitation dans les environnements cloud. Google a également publié des pratiques de sécurité mises à jour pour les déploiements de Looker Studio dans leur documentation officielle.
L'entreprise a confirmé que tous les correctifs sont désormais actifs et que les vulnérabilités ne peuvent plus être exploitées. L'équipe de sécurité de Google continue de surveiller toute tentative d'exploitation potentielle et a mis en place des mécanismes de détection supplémentaires pour identifier des modèles de vulnérabilités similaires à l'avenir. Les organisations préoccupées par une exposition potentielle peuvent contacter le support Google Cloud pour des évaluations de sécurité supplémentaires de leurs déploiements Looker Studio.
