Panne affectant certaines fonctionnalités de Google OAuth

 (trufflesecurity.com)
1 points par GN⁺ 2023-12-22 | Aucun commentaire pour le moment. | Partager sur WhatsApp

Découverte d’une vulnérabilité dans Google OAuth

  • Une vulnérabilité a été découverte dans Google OAuth, permettant à d’anciens employés ayant quitté leur entreprise de conserver un accès indéfini à des applications comme Slack et Zoom.
  • Cette vulnérabilité est suffisamment simple pour être comprise et exploitée même par un public non technique, et Google n’a pas encore pris de mesures pour réduire ce risque.
  • La chronologie de l’incident est la suivante : le 4 août, la vulnérabilité est divulguée à Google, avec l’estimation que des centaines d’applications pourraient être affectées. Le 7 août, le problème est trié. Le 5 octobre, Google verse 1337 $ pour le signalement. Le 25 novembre, une divulgation privée de masse est envoyée à des dizaines d’applications concernées, dont Zoom et Slack. Le 16 décembre, la vulnérabilité est rendue publique, 134 jours après le signalement à Google.

Contexte

  • L’un des bêta-testeurs de l’outil Forager de Truffle Security avait déjà découvert et rendu public un système de connexion affecté par une vulnérabilité Microsoft OAuth.
  • Il a été surpris de constater que Microsoft envoyait des assertions d’e-mail non créées ou vérifiées par Microsoft, et que les assertions d’e-mail elles-mêmes n’étaient pas fiables.
  • Il a ensuite trouvé dans la documentation OIDC de Google un avertissement déconseillant d’utiliser l’e-mail comme identifiant.

Comptes Google non Gmail

  • Il est possible de créer un compte Google à partir d’une adresse e-mail existante qui n’est pas une adresse Gmail.
  • Ces nouveaux comptes Google peuvent envoyer des assertions d’e-mail Yahoo.
  • Si la documentation de Google déconseille d’utiliser l’e-mail comme identifiant principal, c’est que l’on peut modifier dans les paramètres une adresse non Gmail, puis créer un nouveau compte avec l’adresse précédemment modifiée, ce qui permet à deux comptes Google distincts d’envoyer la même assertion d’e-mail.

La partie problématique

  • Il est possible de créer des comptes Google via une organisation Google d’entreprise en utilisant des alias d’e-mail et l’acheminement avec signe plus.
  • Ces adresses e-mail sont interprétées par de nombreuses organisations affectées, qui déterminent si la connexion est autorisée à partir du domaine en fin d’adresse.
  • Ces comptes Google non Gmail ne sont pas en réalité membres de l’organisation Google concernée ; ils n’apparaissent donc ni dans les paramètres administrateur ni dans la liste des utilisateurs Google.

Mesures de protection

  • Les organisations peuvent se protéger en désactivant la connexion via Google et en imposant strictement SAML.
  • Les fournisseurs de services disposent d’un moyen de déterminer l’appartenance à une organisation Google, mais la revendication HD est omise pour les comptes qui ne sont pas membres d’une organisation Google.
  • Google pourrait prendre plusieurs mesures pour corriger largement ce problème pour tout le monde.

Impact supplémentaire

  • Il existe une possibilité technique d’accéder à Zoom et Slack d’une organisation même sans accès initial à ces services.
  • Via certains systèmes de support et de tickets comme Zendesk, il est possible de créer un ticket d’assistance par e-mail, puis de créer un compte Google à partir de celui-ci et de se connecter ensuite via OAuth.

Réflexions finales

  • Le fait que d’anciens employés puissent continuer à accéder à des plateformes comme Slack et Zoom en raison d’une faille dans le système OAuth de Google constitue non pas une simple omission, mais un défaut de sécurité majeur.
  • Google a la capacité de déployer des correctifs à grande échelle pour atténuer ce problème, et l’objectif de cette divulgation publique est de pousser à un véritable changement.
  • Google a trié rapidement le problème, mais n’a pas respecté sa propre bonne pratique de résolution sous 90 jours, ce qui a conduit à la publication au 134e jour.

Avis de GN⁺

  • Cet article met en lumière un grave problème de sécurité : une vulnérabilité du système Google OAuth permet à d’anciens employés de continuer à accéder à des plateformes de communication critiques de leur entreprise.
  • De telles vulnérabilités peuvent représenter une menace majeure pour la sécurité interne des entreprises et entraîner des fuites d’informations sensibles.
  • Le fait que Google n’ait pas pris de mesures actives sur ce problème soulève un enjeu de sécurité important pour les entreprises comme pour les utilisateurs individuels, et souligne la nécessité de renforcer la sensibilisation à la cybersécurité et les protocoles de sécurité.

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.