Comme si perdre son emploi lorsque la start-up pour laquelle vous travaillez s’effondre n’était pas suffisamment grave, un chercheur en sécurité a découvert que les employés des start-ups en échec sont particulièrement exposés au vol de leurs données. Cela va des messages privés sur Slack aux numéros de sécurité sociale et, potentiellement, aux comptes bancaires.
Le chercheur qui a découvert le problème est Dylan Ayrey, co-fondateur et PDG de la start-up Truffle Security soutenue par Andreessen Horowitz. Ayrey est surtout connu en tant que créateur du projet open source populaire TruffleHog, qui aide à surveiller les fuites de données si les méchants parviennent à obtenir des outils d’identification (c’est-à-dire des clés API, des mots de passe et des jetons).
Ayrey est également une étoile montante dans le monde de la chasse aux bogues. La semaine dernière, lors de la conférence de sécurité ShmooCon, il a donné une conférence sur une faille qu’il a trouvée avec Google OAuth, la technologie derrière le « Connexion avec Google », que les gens peuvent utiliser au lieu des mots de passe.
Ayrey a donné sa conférence après avoir signalé la vulnérabilité à Google et à d’autres entreprises potentiellement concernées et a pu partager les détails de celle-ci car Google n’interdit pas à ses chasseurs de bugs de parler de leurs découvertes. (Par exemple, le projet Zero de Google, vieux de dix ans, met souvent en avant les failles qu’il trouve dans les produits d’autres géants de la technologie comme Microsoft Windows.)
Il a découvert que si des hackers malveillants achetaient les domaines en faillite d’une start-up en échec, ils pourraient les utiliser pour se connecter à des logiciels cloud configurés pour permettre à chaque employé de l’entreprise d’avoir accès, comme une messagerie d’entreprise ou une application vidéo. À partir de là, bon nombre de ces applications offrent des répertoires d’entreprise ou des pages d’informations utilisateur où le pirate informatique pourrait découvrir les adresses e-mail réelles d’anciens employés.
Armés du domaine et de ces e-mails, les hackers pourraient utiliser l’option « Connexion avec Google » pour accéder à de nombreuses applications logicielles cloud de la start-up, trouvant souvent plus d’e-mails d’employés.
Pour tester la faille qu’il a trouvée, Ayrey a acheté le domaine d’une start-up en faillite et a pu se connecter à ChatGPT, Slack, Notion, Zoom et un système RH contenant des numéros de sécurité sociale.
L’événement Techcrunch
Économisez plus de 200 $ sur votre pass TechCrunch All Stage
Construisez plus intelligemment. Évoluez plus rapidement. Connectez plus profondément. Rejoignez les visionnaires de Precursor Ventures, NEA, Index Ventures, Underscore VC, et au-delà pour une journée remplie de stratégies, d’ateliers et de connexions significatives.
Boston, MA | 15 juillet
INSCRIVEZ-VOUS MAINTENANT
« C’est probablement la plus grande menace », a déclaré Ayrey à TechCrunch, car les données d’un système RH cloud sont « les plus faciles à monétiser, et les numéros de sécurité sociale et les informations bancaires et tout ce qui se trouve dans les systèmes RH est probablement assez susceptible d’être ciblé. » Il a déclaré que les anciens comptes Gmail ou Google Docs créés par les employés, ou toute donnée créée avec les applications Google, ne sont pas en danger, et Google a confirmé.
Bien que toute entreprise en faillite avec un domaine à vendre puisse être une proie, les employés de start-ups sont particulièrement vulnérables car les start-ups ont tendance à utiliser les applications Google et beaucoup de logiciels cloud pour gérer leurs activités.
Ayrey estime que des dizaines de milliers d’anciens employés sont en danger, ainsi que des millions de comptes logiciels SaaS. Cela est basé sur sa recherche qui a trouvé 116 000 noms de domaine de sites Web actuellement disponibles à la vente provenant de start-ups technologiques en faillite.
Prévention disponible mais pas parfaite.
Google dispose en fait d’une technologie dans sa configuration OAuth qui devrait prévenir les risques décrits par Ayrey, si le fournisseur cloud SaaS l’utilise. Il s’agit d’un « sous-identifiant », qui est une série de chiffres uniques à chaque compte Google. Alors qu’un employé peut avoir plusieurs adresses e-mail liées à son compte Google professionnel, le compte ne devrait avoir qu’un seul sous-identifiant, à jamais.
S’il est configuré, lorsque l’employé se connecte à un compte logiciel cloud en utilisant OAuth, Google enverra à la fois l’adresse e-mail et le sous-identifiant pour identifier la personne. Ainsi, même si des hackers malveillants recréaient des adresses e-mail avec le contrôle du domaine, ils ne devraient pas pouvoir recréer ces identifiants.
Mais Ayrey, travaillant avec un fournisseur de SaaS RH affecté, a découvert que cet identifiant « était peu fiable », comme il l’a dit, ce qui signifie que le fournisseur RH a constaté qu’il changeait dans un très faible pourcentage de cas : 0,04 %. Cela peut être statistiquement proche de zéro, mais pour un fournisseur de cloud RH traitant de grands nombres d’utilisateurs quotidiens, cela se traduit par des centaines de connexions échouées chaque semaine, bloquant les gens hors de leurs comptes. C’est pourquoi ce fournisseur cloud ne voulait pas utiliser le sous-identifiant de Google, a déclaré Ayrey.
Google conteste le fait que le sous-identifiant change jamais. Comme cette découverte provient du fournisseur de cloud RH, et non du chercheur, elle n’a pas été soumise à Google dans le cadre du rapport de bug. Google affirme que s’il voit un jour des preuves que le sous-identifiant est peu fiable, la société y remédiera.
Google change d’avis
Mais Google a également changé d’avis sur l’importance même de ce problème. Au début, Google a complètement rejeté le bogue d’Ayrey, fermant rapidement le ticket et disant qu’il ne s’agissait pas d’un bogue mais d’un problème de « fraude ». Google n’avait pas tout à fait tort. Ce risque provient du contrôle des hackers sur les domaines et de l’abus des comptes e-mail qu’ils recréent à travers eux. Ayrey ne reprochait pas la décision initiale de Google, appelant cela un problème de confidentialité des données où le logiciel OAuth de Google fonctionnait comme prévu même si les utilisateurs pouvaient quand même être touchés. « Ce n’est pas aussi simple », a-t-il dit.
Mais trois mois plus tard, juste après que sa conférence ait été acceptée par ShmooCon, Google a changé d’avis, rouvert le ticket et versé à Ayrey une prime de 1 337 $. Une chose similaire lui est arrivée en 2021 lorsque Google a rouvert son ticket après qu’il ait donné une conférence très populaire sur ses découvertes lors de la conférence Black Hat sur la cybersécurité. Google a même attribué à Ayrey et à sa partenaire de découverte de bugs Allison Donovan le troisième prix de ses prix annuels pour les chercheurs en sécurité (ainsi que 73 331 $).
Google n’a pas encore publié de correctif technique pour la faille, ni de calendrier pour le faire – et il n’est pas clair si Google fera jamais un changement technique pour aborder d’une manière ou d’une autre ce problème. Cependant, la société a mis à jour sa documentation pour dire aux fournisseurs de cloud d’utiliser le sous-identifiant. Google propose également des instructions aux fondateurs sur la manière dont les entreprises doivent correctement fermer Google Workspace et prévenir le problème.
En fin de compte, Google dit que la solution est pour les fondateurs qui ferment une entreprise de s’assurer qu’ils désactivent correctement tous leurs services cloud. « Nous apprécions l’aide de Dylan Ayrey pour identifier les risques découlant du fait que les clients oublient de supprimer les services SaaS tiers lorsqu’ils cessent leurs activités », a déclaré le porte-parole.
Ayrey, lui-même fondateur, comprend pourquoi de nombreux fondateurs pourraient ne pas avoir veillé à ce que leurs services cloud soient désactivés. La fermeture d’une entreprise est en fait un processus compliqué effectué durant ce qui pourrait être un moment émotionnellement douloureux – impliquant de nombreux éléments, du traitement des ordinateurs des employés à la fermeture des comptes bancaires, en passant par le paiement des impôts.
« Lorsque le fondateur doit fermer l’entreprise, il n’est probablement pas dans un état d’esprit optimal pour penser à tout ce qu’il doit penser », dit Ayrey.
