Une vulnérabilité dans la fonctionnalité « Connexion avec Google » d’OAuth pourrait permettre à des attaquants de s’approprier des domaines d’anciennes startups pour accéder aux données sensibles des comptes d’anciens employés liés à diverses plateformes de logiciels en tant que service (SaaS).
Ce problème de sécurité a été mis en évidence par des chercheurs de Trufflesecurity et signalé à Google l’année dernière, le 30 septembre.
Google a d’abord minimisé cette découverte, la considérant comme un problème de fraude plutôt qu’une faille liée à OAuth ou à la connexion. Cependant, après que Dylan Ayrey, PDG et cofondateur de Trufflesecurity, ait présenté cette problématique lors de Shmoocon en décembre dernier, le géant technologique a accordé une prime de 1337 dollars aux chercheurs et a rouvert le dossier.
Source : Trufflesecurity
À l’heure actuelle, cependant, le problème demeure non résolu et exploitable. Dans une déclaration pour BleepingComputer, un porte-parole de Google a recommandé aux clients de suivre les meilleures pratiques et de « bien clore les domaines ».
« Nous remercions Dylan Ayrey pour son aide à identifier les risques liés à l’oubli par les clients de supprimer les services SaaS tiers lors de la cessation de leur activité », a déclaré un représentant de Google à BleepingComputer.
« En tant que bonne pratique, nous recommandons aux clients de bien clore les domaines en suivant ces instructions pour rendre ce type de problème impossible. De plus, nous encourageons les applications tierces à respecter les meilleures pratiques en utilisant les identifiants de compte uniques (sub) pour atténuer ce risque » – Un porte-parole de Google
Le problème sous-jacent
Dans un rapport publié aujourd’hui, Ayrey décrit le problème en ces termes : « La connexion OAuth de Google ne protège pas contre l’achat du domaine d’une startup défaillante et son utilisation pour recréer des comptes email d’anciens employés. »
Bien que la création de ces emails clonés n’accorde pas aux nouveaux propriétaires l’accès aux communications précédentes sur les plateformes de communication, ces comptes peuvent être réutilisés pour se reconnecter à des services tels que Slack, Notion, Zoom, ChatGPT, et diverses plateformes de ressources humaines.
Le chercheur a démontré qu’en achetant un domaine abandonné et en accédant aux plateformes SaaS, il est possible d’extraire des données sensibles des systèmes RH (documents fiscaux, informations d’assurance, numéros de sécurité sociale) et de se connecter à divers services (ChatGPT, Slack, Notion, Zoom).
En consultant la base de données Crunchbase pour des startups désormais disparues avec un domaine laissé à l’abandon, Ayrey a découvert qu’il y avait 116 481 domaines disponibles.
Dans le système OAuth de Google, un “sub claim” est censé fournir un identifiant unique et immuable pour chaque utilisateur, servant de référence définitive afin d’identifier les utilisateurs malgré d’éventuels changements de domaine ou de propriété de l’email.
Cependant, comme l’explique le chercheur, il existe un taux d’incohérence d’environ 0,04 % dans ce “sub claim”, forçant les services en aval comme Slack et Notion à l’ignorer complètement et à se fier uniquement aux revendications d’email et de domaine hébergé.
Source : Trufflesecurity
La revendication d’email est liée à l’adresse email de l’utilisateur, tandis que la revendication de domaine hébergé est liée à la propriété du domaine, permettant ainsi aux nouveaux propriétaires d’usurper l’identité d’anciens employés sur des plateformes SaaS.
Une solution proposée par les chercheurs serait que Google introduise des identifiants immuables, à savoir un ID utilisateur unique et permanent ainsi qu’un ID d’espace de travail lié à l’organisation d’origine.
Les fournisseurs de SaaS pourraient également mettre en place des mesures supplémentaires telles que la vérification croisée des dates d’enregistrement des domaines, l’exigence d’approbations au niveau administrateur pour l’accès aux comptes ou l’utilisation de facteurs secondaires pour la vérification d’identité.
Cependant, ces mesures introduisent des coûts, des complications techniques et des frictions lors de la connexion. De plus, elles ne protègeraient que d’anciens clients, n’ayant donc pas un grand intérêt à être mises en œuvre.
Un risque en constante augmentation
Ce problème concerne des millions de personnes et des milliers d’entreprises, et il croît avec le temps.
Le rapport de Trufflesecurity souligne qu’il pourrait y avoir des millions de comptes employés dans des startups défaillantes dont les domaines sont accessibles à l’achat.
Actuellement, six millions d’Américains travaillent pour des startups technologiques, dont 90 % sont statistiquement destinées à disparaître dans les années à venir.
Environ 50 % de ces entreprises utilisent Google Workspaces pour leurs emails, ce qui signifie que leurs employés se connectent à des outils de productivité en utilisant leurs comptes Gmail.
Si vous faites partie de ces employés, assurez-vous de supprimer les données sensibles de vos comptes lorsque vous quittez une startup, et évitez d’utiliser des comptes de travail pour des inscriptions personnelles afin de prévenir toute exposition future.
Points à retenir
- Une vulnérabilité dans le système OAuth de Google pourrait exposer des données sensibles via des domaines de startups disparues.
- Les employés d’anciennes startups doivent être vigilants et supprimer les informations sensibles avant de quitter leur poste.
- Les entreprises de SaaS pourraient améliorer leur sécurité en mettant en œuvre des identifiants immuables et en vérifiant l’enregistrement des domaines.
En conclusion, la question de la sécurité numérique au sein des startups mérite une attention accrue. À l’heure où la technologie évolue rapidement, il est essentiel que les entreprises restent vigilantes quant aux risques de sécurité potentiels, surtout en ce qui concerne les comptes d’anciens employés. La conscientisation et des pratiques de sécurité améliorées peuvent contribuer à minimiser ces menaces à l’avenir.
Cette vulnérabilité me rappelle l’importance de préserver notre sécurité numérique. Une danse prudentielle s’impose face à cette menace. Soyons toujours en mouvement, vers la protection de nos données sensibles.
C’est fou comme une simple négligence avec un domaine peut ouvrir la porte à tant de problèmes. Cela me rappelle l’importance de bien gérer ses comptes en ligne !
Cette vulnérabilité est vraiment préoccupante. Il est crucial que toutes les startups prennent des mesures pour protéger les données de leurs employés. La sécurité numérique ne doit jamais être négligée.
C’est dingue comme une simple vulnérabilité peut compromettre des données sensibles. On dirait que le monde des startups a besoin d’une bonne leçon de sécurité !
C’est préoccupant de voir comment la sécurité des anciennes startups peut affecter d’anciens employés. Restons vigilants et adoptons de meilleures pratiques pour protéger nos informations sensibles.