Des chercheurs en sécurité de Tenable ont identifié deux vulnérabilités majeures, baptisées « LookOut », dans la plateforme d’analyse de données Google Looker, qui pourraient permettre à des attaquants d’exécuter du code à distance, d’accéder à des informations sensibles, voire de compromettre entièrement une instance non corrigée. Alors que cet outil est utilisé comme un système central d’accès et de visualisation des données chez des dizaines de milliers d’organisations, l’enjeu de sécurité dépasse la simple mise à jour logicielle et touche à la gouvernance des environnements de BI.
Deux vulnérabilités, deux vecteurs d’impact
Selon l’analyse publiée par Tenable, les deux failles concernent des composants centraux de Looker, qu’il s’agisse de versions en cloud privé ou d’installations self-hosted. La première est une chaîne d’exécution de code à distance (RCE) qui pourrait être exploitée pour exécuter des commandes arbitraires sur le serveur hébergeant Looker, donnant potentiellement à un attaquant un accès administratif complet à l’infrastructure sous-jacente. En environnement cloud partagé, cette brèche pourrait même permettre des mouvements latéraux entre différents locataires.
La deuxième faille repérée correspond à une vulnérabilité d’accès interne aux bases de données, exploitée « grâce » à un contournement d’autorisation, qui permettrait de se connecter aux systèmes de gestion internes de Looker et d’extraire des secrets, des identifiants et des configurations sensibles.
Ces vulnérabilités ont été rassemblées sous le nom de LookOut dans les publications et suivies comme CVE-2025-12743.
Un risque concret pour les environnements non gérés
Google a réagi rapidement en corrigeant ces problèmes sur les instances gérées dans le cadre de son service cloud. Toutefois, les organisations qui exploitent leurs propres instances Looker, qu’elles soient hébergées sur site ou dans un cloud privé, doivent appliquer manuellement ces correctifs pour éviter toute compromission.
Il s’agit d’un point clé puisque contrairement à de nombreux services SaaS où les gestionnaires prennent en charge les mises à jour, ici la responsabilité de patching complet repose sur l’entreprise cliente tant que l’instance n’est pas directement gérée par Google. Dans un contexte où certaines entreprises peinent encore à maintenir à jour leurs dépendances critiques, ce modèle expose une surface d’attaque significative.
L’enjeu dépasse la vulnérabilité brute
L’un des aspects les plus sensibles de cette actualité est moins la simple présence de failles que le rôle stratégique de Looker dans l’écosystème data. Dans de nombreuses organisations, Looker ne se contente pas de produire des visuels. Il constitue une couche d’accès consolidée à des sources hétérogènes, des entrepôts de données et des flux métiers. Une compromission de ce type d’outil peut ainsi offrir à un attaquant une vue transversale sur les données structurées, sans être limité à un périmètre applicatif restreint. Ce type de compromis peut mener à la fuite de données sensibles, au sabotage d’informations critiques ou à une exploitation plus avancée du réseau interne, notamment si les identifiants ou accès extraits servent de tremplin vers d’autres systèmes.
Ce que les RSSI doivent surveiller
Pour les équipes de sécurité, plusieurs mesures s’imposent :
- Vérifier la version de Looker en production et appliquer immédiatement les patches recommandés par Google pour éviter l’exposition aux CVE-2025-12743.
- Inventorier l’ensemble des instances Looker déployées, en particulier celles non managées par une équipe centrale ou en shadow IT.
- Segmenter et isoler les instances BI sensibles, afin de limiter l’impact potentiel d’une compromission sur d’autres zones du réseau.
- Contrôler la gestion des privilèges et des accès développeurs, qui peuvent être des vecteurs d’attaque dans ce type de scénarios.
