
Une faiblesse de la fonctionnalité OAuth “Se connecter avec Google” de Google pourrait permettre aux attaquants qui enregistrent des domaines de startups disparues d’accéder aux données sensibles des anciens comptes d’employés liés à diverses plates-formes SaaS (software-as-a-service).
La faille de sécurité a été découverte par des chercheurs en sécurité de Truffle et signalée à Google l’année dernière le 30 septembre.
Google a initialement ignoré la constatation comme un problème de « fraude et d’abus » et non un problème d’Oauth ou de connexion. Cependant, après que Dylan Airey, PDG et cofondateur de Truffle Security, a présenté le problème à Shmoocon en décembre dernier, le géant de la technologie a attribué une prime de 1337 $aux chercheurs et a rouvert le ticket.

Au moment de la publication, cependant, le problème reste non résolu et exploitable. Dans une déclaration pour Breachtrace, un porte-parole de Google a déclaré que la société recommandait aux clients de suivre les meilleures pratiques et de » fermer correctement les domaines. »
« Nous apprécions l’aide de Dylan Ayrey pour identifier les risques liés à l’oubli des clients de supprimer des services SaaS tiers dans le cadre du refus de leur opération », a déclaré un représentant de Google à Breachtrace.
Comme meilleure pratique, nous recommandons aux clients de fermer correctement les domaines en suivant ces instructions pour rendre ce type de problème impossible. De plus, nous encourageons les applications tierces à suivre les meilleures pratiques en utilisant les identifiants de compte uniques (sub) pour atténuer ce risque » – Porte-parole de Google
Le problème sous-jacent
Dans un rapport publié aujourd’hui, the Ayrey décrit le problème comme suit: “La connexion OAuth de Google ne protège pas contre l’achat du domaine d’une startup en échec et son utilisation pour recréer des comptes de messagerie pour d’anciens employés.”
La création d’e-mails clones n’accorde pas aux nouveaux propriétaires l’accès aux communications précédentes sur les plateformes de communication, mais les comptes peuvent être utilisés pour se reconnecter à des services tels que Slack, Notion, Zoom, ChatGPT et diverses plateformes de ressources humaines (RH).

Le chercheur a démontré qu’en achetant un domaine disparu et en accédant à des plateformes SaaS, il est possible d’extraire des données sensibles des systèmes RH (documents fiscaux, informations d’assurance et numéros de sécurité sociale) et de se connecter à divers services (par exemple ChatGPT, Slack, Notion, Zoom).
En examinant la base de données Crunchbase pour les startups désormais disparues avec un domaine abandonné, Ayrey a découvert qu’il y avait 116 481 domaines disponibles.
Dans le système OAuth de Google, une sous-revendication est destinée à fournir un identifiant unique et immuable pour chaque utilisateur à travers les connexions, destiné à servir de référence définitive pour identifier les utilisateurs malgré les changements potentiels de domaine ou de propriété des e-mails.
Cependant, comme l’explique le chercheur, il existe un taux d’incohérence d’environ 0,04% dans la sous-revendication, forçant les services en aval comme Slack et Notion à l’ignorer entièrement et à s’appuyer uniquement sur les revendications de messagerie et de domaine hébergé.

La revendication d’e-mail est liée à l’adresse e-mail de l’utilisateur et la revendication de domaine hébergé est liée à la propriété du domaine, de sorte que les deux peuvent être hérités par de nouveaux propriétaires qui peuvent ensuite se faire passer pour d’anciens employés sur des plates-formes SaaS.
Une solution proposée par les chercheurs est que Google a introduit des identifiants immuables, à savoir un identifiant d’utilisateur unique et permanent et un identifiant d’espace de travail unique lié à l’organisation d’origine.
Les fournisseurs SaaS peuvent également mettre en œuvre des mesures supplémentaires telles que le référencement croisé des dates d’enregistrement de domaine, l’application des approbations au niveau de l’administrateur pour l’accès au compte ou l’utilisation de facteurs secondaires pour la vérification de l’identité.
Ces mesures, cependant, introduisent des coûts, des complications techniques et des frictions de connexion. De plus, ils protégeraient les anciens clients qui ne paient pas actuellement, de sorte que l’incitation à les mettre en œuvre est faible.
Un risque sans cesse croissant
Le problème touche des millions de personnes et des milliers d’entreprises, et il ne fait que s’aggraver avec le temps.
Le rapport Trufflesecurity note qu’il peut y avoir des millions de comptes d’employés dans des startups en faillite qui ont des domaines disponibles à l’achat.
Actuellement, il y a six millions d’Américains qui travaillent pour des startups technologiques, dont 90% sont statistiquement destinés à disparaître dans les années suivantes.
Environ 50% de ces entreprises utilisent Google Workspaces pour la messagerie électronique, de sorte que leurs employés se connectent aux outils de productivité à l’aide de leurs comptes Gmail.
Si vous en faites partie, assurez-vous de supprimer les données sensibles des comptes lorsque vous quittez une startup et évitez d’utiliser des comptes professionnels pour les enregistrements de comptes personnels afin d’éviter toute exposition future.