Une faille dans Google OAuth pourrait tout changer. Des domaines abandonnés suffisent à exposer vos données personnelles et à compromettre des comptes SaaS sensibles.
Google OAuth semble receler des failles qui mettent en péril des informations sensibles. Un système que nous utilisons tous, sans toujours réaliser les risques qu’il comporte. Mais comment cela est-il possible, et que faire pour se protéger ?
Google OAuth, une porte d’entrée pour les hackers
Google OAuth est le système qui authentifie automatiquement les connexions à des applications tierces via un compte Google. Simple, rapide et efficace. Pourtant, derrière cette solution censée garantir la sécurité, se cache une vulnérabilité majeure. Cette faille permet à un attaquant de récupérer un domaine abandonné – souvent celui d’une startup défaillante – et d’accéder à des comptes d’anciens employés.
En accédant à ces comptes, l’attaquant peut se connecter à des outils comme Slack, Zoom, Notion ou des systèmes RH. Des informations sensibles telles que des fiches de paie, des documents fiscaux et même des données de Sécurité sociale peuvent ainsi être compromises.
Vous aimerez aussi cet article:
Pourquoi un domaine abandonné peut-il exposer vos données ?
Lorsqu’un domaine est abandonné, il devient disponible à l’achat. Si un hacker réussit à acquérir ce domaine, il peut réactiver des comptes associés à d’anciens employés. Cela est particulièrement problématique pour les applications SaaS qui s’appuient sur des informations et le domaine pour authentifier les utilisateurs. Ces données, bien que considérées comme sécurisées, ne sont pas infaillibles.
La faille réside dans l’authentification. Si le domaine est réactivé, l’attaquant peut utiliser les mêmes informations pour se connecter à des outils de travail. Ce scénario devient encore plus probable si l’entreprise ne supprime pas correctement les données des anciens employés lors de leur départ.
L’exposition des données personnelles via Google OAuth concerne à la fois les entreprises et les utilisateurs individuels. Le problème majeur réside dans le manque de protection contre ce type d’attaque. Google utilise des identifiants uniques, comme le champ sub, qui devrait théoriquement empêcher ce genre de compromission. Toutefois, ce mécanisme s’avère peu fiable.
Vous aimerez aussi cet article:
La réponse de Google à cette vulnérabilité
Face à cette vulnérabilité, Google a rouvert le rapport de bug et attribué une récompense à l’auteur de la découverte. L’entreprise affirme que la faille est en cours d’examen, mais ne considère pas cela comme une erreur dans le système. Elle recommande néanmoins aux utilisateurs de suivre des pratiques de sécurité strictes. Notamment, la suppression des données des anciens employés lorsque leur compte est fermé.
Google suggère également d’utiliser le champ sub comme identifiant unique pour chaque utilisateur afin de réduire les risques de compromission. Néanmoins, cette solution n’est pas encore totalement fiable. De nombreux experts s’interrogent sur la capacité de Google à sécuriser pleinement ses systèmes d’authentification.
