Les failles zero-day sont au top des risques de sécurité en ligne, car elles permettent aux pirates d’exploiter une vulnérabilité inconnue du fournisseur de logiciels. Récemment, Google Cloud Platform (GCP), un outil de stockage et de gestion de données populaire, est devenu la cible de l’un de ces exploits, permettant aux attaquants d’accéder aux comptes Google des utilisateurs, y compris les données dans Gmail, Drive, Docs, Photos, etc.
Bien que la startup israélienne de cybersécurité Astrix Security ait découvert et signalé la vulnérabilité en juin 2022, Google déploie actuellement un correctif pour résoudre le problème.
Comment fonctionne la vulnérabilité ?
Surnommée GhostToken, la vulnérabilité a permis aux pirates de créer leur propre application GCP malveillante et de la publier sur le marché Google. Par conséquent, si un utilisateur installait l’application GCP malveillante et l’autorisait en la liant à un jeton OAuth, les pirates auraient alors accès au compte Google de l’utilisateur.
De plus, pour empêcher les victimes de supprimer l’application, les pirates pourraient la masquer en supprimant le projet GCP lié, en plaçant l’application dans un état « en attente de suppression » et en la rendant invisible sur la page de gestion des applications de Google. Pour aggraver les choses, les attaquants pourraient répéter ce processus de masquage et de restauration de l’application malveillante chaque fois qu’ils avaient besoin d’accéder aux données de la victime.
Alors que l’impact de l’attaque dépendait des autorisations qu’une victime accordait à l’application, une fois que les attaquants avaient accès au compte Google, ils pouvaient détenir un jeton « fantôme », qui leur accordait l’accès aux données indéfiniment.
La solution de Google
La récente mise à jour de Google a enfin corrigé la vulnérabilité en s’assurant que les applications GCP OAuth dans un état « suppression en attente » apparaîtront désormais sur la page « Applications avec accès à votre compte ». Par conséquent, permettre aux utilisateurs de supprimer ces applications et d’empêcher toute tentative de détournement de leurs comptes.
De plus, pour rester protégés contre les vulnérabilités et les exploits futurs, les utilisateurs doivent également consulter régulièrement leur page de gestion des applications pour vérifier que toutes les applications tierces ne disposent que des autorisations nécessaires pour les fonctions prévues.
