Une faille dans Google OAuth met en danger des millions de personnes. Exploitée par des cybercriminels, la vulnérabilité permet d’orchestrer une gigantesque fuite de données personnelles…
Les chercheurs de Trufflesecurity ont débusqué une faille dans le fonctionnement de Google OAuth, la mise en œuvre de Google du standard ouvert OAuth. Elle permet aux utilisateurs d’autoriser des applications tierces à accéder de manière sécurisée à leurs données sur les services de Google, comme Gmail, Google Drive, YouTube ou Google Docs.
Selon les investigations des experts, il est possible de se servir de la fonction “Connexion avec Google” du système OAuth pour prendre le contrôle des comptes appartenant à des entreprises en faillite. La faille concerne uniquement les start-ups qui ont fermé leurs portes.
Faille d’OAuth et vol de données
Lorsqu’une entreprise utilise OAuth, elle enregistre un domaine pour ses applications. Ce domaine sert d’identifiant. Cependant, si l’entreprise ferme prématurément et abandonne son domaine, celui-ci peut être racheté par un individu. Comme l’explique le chercheur Dylan Ayrey, « la connexion OAuth de Google ne protège pas contre quelqu’un qui achète le domaine d’une startup en faillite et l’utilise pour recréer des comptes de messagerie pour d’anciens employés ».
Les identifiants OAuth sont souvent liés au domaine, et non à un identifiant immuable.
Si le domaine change de propriétaire, les systèmes comme Google OAuth n’ont pas toujours moyen de détecter cette modification. De facto, le nouveau propriétaire peut se servir de la fonction pour se reconnecter à des services tiers, comme Slack, Notion, Zoom, ou encore ChatGPT. Ce ne sont que des exemples parmi d’autres.
« Bien que vous ne puissiez pas accéder aux anciennes données de messagerie, vous pouvez utiliser ces comptes pour vous connecter à tous les différents produits utilisés par l’entreprise », explique Trufflesecurity.
Dès lors, de potentiels attaquants peuvent exfiltrer des données sensibles issues des comptes. Les chercheurs ont démontré qu’il est possible de s’emparer de documents confidentiels en se connectant à des plateformes dédiées aux ressources humaines. Parmi les dossiers qui peuvent finir entre les mains des pirates, on trouve des documents fiscaux, des informations d’assurance et des numéros de Sécurité sociale. Ces informations peuvent représenter une sérieuse menace pour les personnes concernées.
Avec un numéro de Sécurité sociale, un pirate peut réaliser une tentative d’usurpation d’identité.
Les chercheurs soulignent que Google OAuth embarque un système de sous-réclamation, censé jouer le rôle d’un identifiant unique attribué à chaque utilisateur, quelle que soit l’évolution de son domaine ou de son adresse e-mail.
Malheureusement, ce mécanisme un taux d’incohérence de 0,04 %.
En clair, une partie des sous-réclamations ne reste pas constante au fil du temps. Dans ces conditions, les services tiers ne peuvent pas s’appuyer uniquement sur la sous-réclamation pour identifier les utilisateurs. Ils s’appuient alors sur l’adresse mail et le domaine, ouvrant la porte aux fuites de données.
Des millions d’individus affectés
Comme le souligne le chercheur à l’origine de la découverte, la faille menace des millions de personnes. En effet, il y a actuellement plus de 110 000 domaines disponibles ayant appartenu à des entreprises en faillite. Toutes les personnes qui ont travaillé pour ces sociétés pourraient voir leurs données personnelles subtilisées par des cybercriminels.
« Des millions d’Américains peuvent se faire voler leurs données dès maintenant », indique le rapport de Trufflesecurity.
Sans surprise, Dylan Ayrey a alerté Google de la vulnérabilité au sein de Google OAuth. Dans un premier temps, le géant de Mountain View a refusé de corriger la vulnérabilité, estimant qu’il s’agit plutôt d’un problème de fraude et d’abus. Par la suite, Google a changé d’avis et accepté de se pencher sur la question. Néanmoins, la faille est toujours ouverte et exploitable.
Dans une réaction adressée à nos confrères de Bleeping Computer, le groupe indique remercier « Dylan Ayrey pour son aide à identifier les risques liés à l’oubli par les clients de supprimer des services tiers lors de la cessation de leur activité ». Google recommande aux entreprises en faillite de « clôturer correctement leurs domaines » en prenant une série de précautions, notamment en supprimant toutes les données utilisateur dans le processus.
Par ailleurs, Google encourage « les applications tierces à suivre les meilleures pratiques en utilisant les identifiants de compte uniques ».
Pour Dylan Ayrey, « sans identifiants immuables pour les utilisateurs et les espaces de travail, les changements de propriété du domaine continueront de compromettre les comptes ».
Bleeping Computer