Des chercheurs ont découvert une faille dans le système OAuth de Google qui pourrait permettre à des attaquants d'accéder à des données potentiellement sensibles provenant de comptes d'anciens employés de startups défuntes.
OAuth de Google est la technologie de connexion du géant de Mountain View qui vous permet d'accéder à de nombreuses plateformes et services avec votre compte Google. Lorsque vous utilisez l'option « Connectez-vous avec Google », vous utilisez OAuth. La gamme de services de l'entreprise est également largement présente dans les environnements professionnels. Les employés utilisent OAuth non seulement pour accéder à la suite Workspace mais également aux plateformes externes via le modèle Software-as-a-Service (SaaS).
Cette faille OAuth de Google pourrait permettre aux attaquants d'hériter des identifiants de connexion
Il est possible que vous ayez plusieurs comptes Google et que pour certains, vous ne vous souveniez même pas de vos informations d'identification. Ainsi, votre compte perdu est laissé dans un « limbe » où vous ne pouvez pas y accéder pour une raison ou une autre. Cependant, la question de la tenue de « comptes zombies » est plus délicate dans le monde des affaires. Ces comptes sont souvent liés à des services tiers contenant des données potentiellement sensibles provenant d'anciens employés ou de l'entreprise pour laquelle ils travaillaient.
Fin septembre 2024, l'équipe Trufflesecurity a détecté une faille dans le système OAuth de Google que des acteurs malveillants pourraient exploiter. À l’époque, Google avait qualifié le problème de « fraude et abus » plutôt que de vulnérabilité de connexion. Cependant, Dylan Ayrey, PDG de Trufflesecurity, l'a exposé lors de la dernière convention des hackers Shmoocon en décembre dernier. Cela a incité Google à rouvrir le ticket et à offrir une prime de 1 337 $ aux chercheurs.
« La connexion OAuth de Google ne protège pas contre quelqu'un qui achète le domaine d'une startup en échec et l'utilise pour recréer des comptes de messagerie pour d'anciens employés« , a déclaré Ayrey à propos de la question dans un récent rapport. Dans le cas où un tiers achète le domaine d'une startup en échec et hérite de la connexion OAuth de Google, il ne pourrait pas accéder aux communications internes précédentes de l'entreprise. Cependant, ils pourraient se connecter à des services externes liés au domaine OAuth de Google. Ils pourraient par exemple accéder à ChatGPT, Notion, Zoom, Slack, ou à certaines plateformes RH, reprenant les sessions d'anciens salariés de la défunte startup.
Les attaquants n'ont qu'à acheter un domaine obsolète auprès d'une startup en échec
Le chercheur a montré comment il a réussi à accéder aux données confidentielles d'une startup en échec à partir des systèmes RH. Il lui a simplement fallu acheter un domaine obsolète et utiliser les anciennes informations d'identification OAuth. Les attaquants potentiels pourraient commencer à cibler les domaines liés aux startups en échec afin de les acheter et d'exploiter la vulnérabilité. La base de données Crunchbase des startups qui n'existent plus répertorie environ 116 481 domaines disponibles. Cela signifie qu’il pourrait potentiellement y avoir des millions de comptes d’anciens employés prêts à être « exploités ».
Pour éviter les problèmes liés au système OAuth, vous devez éviter d'utiliser les informations d'identification de votre entreprise sur vos comptes personnels. Cela pourrait ouvrir la porte à des attaquants qui pourraient les voler à l’avenir. Vous devez également supprimer toutes les données sensibles de votre compte professionnel si vous changez d'emploi.
