Une nouvelle recherche met en évidence une vulnérabilité dans la méthode d’authentification « Connectez-vous avec Google » de Google, qui permet un accès non autorisé à des données sensibles en exploitant des domaines de démarrage abandonnés, posant ainsi un risque potentiel pour des millions d’utilisateurs américains.
Une nouvelle recherche révèle une vulnérabilité dans la méthode d’authentification de Google
Dylan Ayrey, co-fondateur et PDG de Truffle Security, révélé que la connexion OAuth de Google ne protège pas contre quelqu’un qui achète le domaine d’une startup en échec et recrée des comptes de messagerie pour d’anciens employés. Bien que cela ne donne pas accès aux anciennes données de messagerie, cela permet aux attaquants de se connecter à divers produits Software-as-a-Service (SaaS) utilisés par l’organisation.
La recherche indique que l’accès via ces comptes pourrait compromettre les utilisateurs sur des plateformes telles que OpenAI ChatGPT, Slack, Notion, Zoom et plusieurs systèmes de ressources humaines (RH). Des données sensibles, notamment des documents fiscaux, des fiches de paie, des informations sur les assurances et des numéros de sécurité sociale, pourraient être exposées. Les plateformes d’entretien peuvent également contenir des informations privées concernant les commentaires des candidats et les décisions d’embauche.
N’ignorez pas : la mise à jour de cybersécurité d’Adobe pourrait sauvegarder vos données
OAuth, ou autorisation ouverte, est une norme qui permet aux utilisateurs d’accorder aux applications l’accès à leurs données sans partager de mots de passe. Lors de la connexion à des applications à l’aide de « Connectez-vous avec Google », Google fournit des informations sur l’utilisateur, notamment son adresse e-mail et son domaine hébergé. Si l’authentification repose uniquement sur ces éléments, elle augmente le risque d’accès non autorisé suite à un changement de propriétaire de domaine.
Le problème a été documenté par les chercheurs de Truffle Security et signalé à Google le 30 septembre 2024. Google a initialement classé le résultat comme un problème de fraude et d’abus plutôt que comme une faille dans OAuth. Suite à la présentation des résultats par Ayrey à Shmoocon en décembre, Google a rouvert le ticket et a accordé à Ayrey une prime de 1 337 $. Néanmoins, la vulnérabilité reste non corrigée et exploitable.
Le jeton d’identification OAuth de Google comprend un identifiant d’utilisateur unique appelé « sous-revendication », qui devrait théoriquement éviter de tels problèmes. Cependant, des incohérences (environ 0,04 %) dans la fiabilité des sous-revendications obligent des services comme Slack et Notion à s’appuyer uniquement sur les revendications de courrier électronique et de domaine, dont peuvent hériter les nouveaux propriétaires de domaine, permettant ainsi l’usurpation d’identité d’anciens employés.
Ayrey a découvert 116 481 domaines abandonnés en analysant la base de données Crunchbase. Il plaide pour l’introduction par Google d’identifiants immuables pour renforcer la sécurité des comptes. De plus, les fournisseurs SaaS pourraient appliquer des mesures telles que le référencement croisé des dates d’enregistrement de domaine ou exiger des autorisations de niveau administrateur pour l’accès au compte afin d’améliorer la sécurité.
Cependant, la mise en œuvre de ces mesures de sécurité pourrait entraîner des coûts opérationnels, des défis techniques et des frictions entre les utilisateurs, ce qui n’inciterait qu’à peine à l’adoption. Le risque continue de croître, affectant potentiellement des millions de comptes d’employés dans les startups, d’autant plus que, selon les statistiques, 90 % des startups technologiques devraient disparaître.
Actuellement, environ six millions d’Américains sont employés dans des startups technologiques, dont environ 50 % utilisent Google Workspaces pour la messagerie électronique, ce qui implique que de nombreux utilisateurs se connectent à des outils de productivité à l’aide de leur compte Google. Les anciens salariés sont informé de supprimer les informations sensibles des comptes avant de quitter ces organisations, en évitant d’utiliser des comptes professionnels pour des enregistrements personnels afin d’atténuer les risques de sécurité futurs.
Crédit image en vedette : Google
