Comme si perdre son emploi lorsque la startup pour laquelle vous travaillez s'effondre n'était pas suffisamment grave, un chercheur en sécurité a découvert que les employés des startups en faillite sont particulièrement exposés au vol de leurs données. Cela va des messages privés sur Slack aux numéros de sécurité sociale et, potentiellement, aux comptes bancaires.
Le chercheur qui a découvert le problème est Dylan Ayrey, cofondateur et PDG de Truffle Security, une startup soutenue par Andreessen Horowitz. Ayrey est surtout connu en tant que créateur du projet open source TruffleHog, qui aide à surveiller les fuites de données si les pirates parviennent à obtenir des outils d'identification (c'est-à-dire des clés API, des mots de passe et des jetons).
Ayrey est également une étoile montante dans le monde de la chasse aux bugs. La semaine dernière, lors de la conférence de sécurité ShmooCon, il a donné une conférence sur une faille qu'il a trouvée avec Google OAuth, la technologie derrière le "Sign in with Google", que les gens peuvent utiliser à la place des mots de passe.
Ayrey a donné sa conférence après avoir signalé la vulnérabilité à Google et à d'autres entreprises qui pourraient être affectées et a pu partager les détails de celle-ci car Google n'interdit pas à ses chercheurs en sécurité de parler de leurs découvertes. (Par exemple, le Project Zero de Google, âgé de plusieurs décennies, met souvent en avant les failles qu'il trouve dans les produits d'autres géants de la technologie comme Microsoft Windows.)
Il a découvert que si des pirates malveillants achetaient les domaines défunt d'une startup en faillite, ils pourraient les utiliser pour se connecter aux logiciels cloud configurés pour permettre à chaque employé de l'entreprise d'avoir accès, comme une application de chat d'entreprise ou de vidéo. De là, bon nombre de ces applications offrent des annuaires d'entreprise ou des pages d'informations sur les utilisateurs où le pirate pourrait découvrir les véritables adresses e-mail des anciens employés.
Armés du domaine et de ces e-mails, les pirates pourraient utiliser l'option "Sign in with Google" pour accéder à de nombreuses applications logicielles cloud de la startup, trouvant souvent plus d'e-mails d'employés.
Pour tester la faille qu'il a trouvée, Ayrey a acheté un domaine de startup en faillite et a ainsi pu se connecter à ChatGPT, Slack, Notion, Zoom et à un système de ressources humaines contenant des numéros de sécurité sociale.
\"C'est probablement la plus grande menace\", a déclaré Ayrey à TechCrunch, car les données d'un système de ressources humaines dans le cloud sont \"les plus faciles à monétiser, et les numéros de sécurité sociale et les informations bancaires et tout ce qui se trouve dans les systèmes de ressources humaines risquent probablement d'être ciblés\". Il a déclaré que les anciens comptes Gmail ou les Google Docs créés par les employés, ou toute donnée créée avec les applications de Google, ne sont pas à risque, et Google l'a confirmé.
Alors que toute entreprise en faillite avec un domaine à vendre pourrait être victime, les employés de startups sont particulièrement vulnérables car les startups ont tendance à utiliser les applications de Google et de nombreux logiciels cloud pour faire fonctionner leurs entreprises.
Ayrey estime que des dizaines de milliers d'anciens employés sont en danger, ainsi que des millions de comptes de logiciels en tant que service (SaaS). Cela se base sur sa recherche qui a trouvé 116 000 domaines de sites Web actuellement disponibles à la vente provenant de startups technologiques en faillite.
Prévention disponible mais pas parfaite
Google dispose en fait d'une technologie dans sa configuration OAuth qui devrait prévenir les risques décrits par Ayrey, si le fournisseur de logiciel cloud utilise celle-ci. Il s'agit d'un \"sous-identifiant\", qui est une série de chiffres uniques à chaque compte Google. Bien qu'un employé puisse avoir plusieurs adresses e-mail associées à son compte Google professionnel, le compte ne devrait avoir qu'un seul sous-identifiant, toujours.
Si configuré, lorsque l'employé tente de se connecter à un compte logiciel cloud en utilisant OAuth, Google enverra à la fois l'adresse e-mail et le sous-identifiant pour identifier la personne. Ainsi, même si des pirates malveillants recréaient des adresses e-mail avec le contrôle du domaine, ils ne devraient pas pouvoir recréer ces identifiants.
Cependant, Ayrey, travaillant avec un fournisseur de logiciels cloud RH affecté, a découvert que cet identifiant \"était peu fiable\", comme il l'a dit, ce qui signifie que le fournisseur RH a constaté qu'il changeait dans un très faible pourcentage de cas : 0,04 %. Cela peut être statistiquement proche de zéro, mais pour un fournisseur de cloud RH gérant de gros volumes d'utilisateurs quotidiens, cela se traduit par des centaines de connexions échouées chaque semaine, bloquant les gens hors de leur compte. C'est pourquoi ce fournisseur cloud ne voulait pas utiliser le sous-identifiant de Google, a déclaré Ayrey.
Google conteste le fait que le sous-identifiant change. Comme cette constatation provenait du fournisseur cloud RH, et non du chercheur, elle n'a pas été soumise à Google dans le cadre du rapport de bug. Google indique que s'il voit des preuves que le sous-identifiant est peu fiable, l'entreprise y remédiera.
Google change d'avis
Mais Google a également changé d'avis sur l'importance de cette question. Au début, Google a complètement ignoré le bug d'Ayrey, fermant rapidement le ticket et disant qu'il ne s'agissait pas d'un bug mais d'un problème de \"fraude\". Google n'avait pas complètement tort. Ce risque provient du fait que des pirates contrôlent des domaines et utilisent de manière abusive des comptes e-mail qu'ils recréent à travers eux. Ayrey n'a pas reproché la décision initiale de Google, qualifiant cela de problème de confidentialité des données où le logiciel OAuth de Google fonctionnait comme prévu même si les utilisateurs pouvaient tout de même être préjudiciés. \"Ce n'est pas aussi simple\", a-t-il dit.
Cependant, trois mois plus tard, juste après que sa conférence ait été acceptée par ShmooCon, Google a changé d'avis, rouvert le ticket et versé à Ayrey une prime de 1 337 dollars. Une situation similaire lui est arrivée en 2021 lorsque Google a rouvert son ticket après qu'il ait donné une conférence très populaire sur ses découvertes lors de la conférence de cybersécurité Black Hat. Google a même attribué à Ayrey et à sa partenaire de recherche en recherche de bugs, Allison Donovan, la troisième place dans ses prix annuels des chercheurs en sécurité (avec 73 331 dollars).
Google n'a pas encore publié de correctif technique pour la faille, ni de calendrier pour quand il pourrait le faire, et il n'est pas clair si Google apportera un jour un changement technique pour résoudre ce problème. Cependant, l'entreprise a mis à jour sa documentation pour indiquer aux fournisseurs cloud d'utiliser le sous-identifiant. Google propose également des instructions aux fondateurs sur la manière dont les entreprises doivent fermer correctement Google Workspace et prévenir le problème.
En fin de compte, Google indique que la solution consiste pour les fondateurs qui ferment une entreprise à s'assurer que tous leurs services cloud sont correctement fermés. \"Nous apprécions l'aide de Dylan Ayrey pour identifier les risques découlant du fait que les clients oublient de supprimer les services SaaS tiers lorsqu'ils arrêtent leur activité\", a déclaré le porte-parole.
Ayrey, lui-même fondateur, comprend pourquoi de nombreux fondateurs pourraient ne pas avoir veillé à ce que leurs services cloud soient désactivés. Fermer une société est en fait un processus complexe effectué pendant ce qui pourrait être une période émotionnellement douloureuse - impliquant de nombreux éléments, allant de la disposition des ordinateurs des employés à la fermeture des comptes bancaires, en passant par le paiement des impôts.
