Faille Google OAuth : Les domaines expirés, une porte d’entrée pour les cybercriminels

Faille Google OAuth : Les domaines expirés, une porte d’entrée pour les cybercriminels

L’authentification via Google OAuth, souvent utilisée pour simplifier les connexions aux services en ligne, est une technologie largement adoptée. Cependant, une faille critique dans son implémentation a récemment été mise en lumière, exposant des millions d’utilisateurs à des risques de piratage. Les hackers exploitent une méthode ingénieuse mais inquiétante : l’achat de domaines expirés pour accéder à des comptes sensibles. Décryptons cette menace et les mesures à prendre pour s’en protéger.

Les domaines expirés peuvent compromettre des comptes OAuth

Des chercheurs en cybersécurité de Trufflesecurity ont mis en lumière une vulnérabilité dans la fonctionnalité “Se connecter avec Google”, qui pourrait permettre à des attaquants de prendre le contrôle de comptes liés à des plateformes SaaS.

Le problème survient lorsqu’un domaine appartenant à une startup aujourd’hui disparue est réenregistré par un tiers malveillant. Si d’anciens employés utilisaient ce domaine pour s’authentifier sur des services tiers via Google OAuth, un attaquant pourrait potentiellement accéder à leurs données sensibles.

Signalée à Google le 30 septembre dernier, cette faille a d’abord été classée comme un simple problème de fraude et d’abus, et non comme un défaut du protocole OAuth. Toutefois, après que Dylan Ayrey, CEO et cofondateur de Trufflesecurity, a présenté ces risques lors de la conférence Shmoocon en décembre, Google a finalement revu sa position. L’entreprise a rouvert le dossier et attribué une récompense de 1337 dollars aux chercheurs.

Ce cas met en évidence un danger méconnu des systèmes d’authentification par OAuth et souligne l’importance d’une vigilance accrue lors de la réutilisation de domaines expirés.

Réponse initiale de Google (en haut) et réouverture du ticket (en bas)

Réponse initiale de Google (en haut) et réouverture du ticket (en bas) (Source : Trufflesecurity )

Le problème sous-jacent

Dans un rapport publié le 14 janvier 2025, Dylan Ayrey met en évidence une vulnérabilité dans le système de connexion OAuth de Google. Lorsqu’un domaine appartenant à une startup disparue est réenregistré, un attaquant peut recréer les adresses e-mail des anciens employés et accéder à leurs comptes sur diverses plateformes SaaS comme Slack, Notion, Zoom, ChatGPT et des systèmes RH. Bien que ces e-mails clonés ne donnent pas accès aux anciennes communications, ils permettent de se reconnecter aux services associés et d’extraire des données sensibles, telles que des documents fiscaux, des informations d’assurance et des numéros de sécurité sociale. Le problème vient du fait que Google OAuth associe l’email à l’utilisateur et le domaine hébergé à la propriété du domaine. Un nouvel acquéreur peut ainsi hériter de ces droits et usurper l’identité d’un ancien employé.

Accès aux membres inscrits de l’espace de travail sur Zoom

Accès aux membres inscrits de l’espace de travail sur Zoom (Source : Trufflesecurity )

Les chercheurs proposent plusieurs mesures pour atténuer ce risque. Google pourrait introduire des identifiants immuables, comme un ID utilisateur unique et permanent ainsi qu’un ID d’organisation rattaché à l’entreprise d’origine. Les fournisseurs SaaS, quant à eux, pourraient croiser les dates d’enregistrement des domaines, exiger une validation administrative pour l’accès aux comptes ou renforcer l’authentification avec des facteurs secondaires. Cependant, ces solutions impliquent des coûts supplémentaires, des défis techniques et des frictions dans l’expérience utilisateur. De plus, elles protègeraient principalement des anciens clients qui ne génèrent plus de revenus, ce qui réduit l’intérêt des entreprises à les mettre en place.

En analysant la base de données de Crunchbase, Ayrey a découvert 116 481 domaines de startups disparues encore disponibles. Enfin, bien que Google OAuth utilise une sub claim censée fournir un identifiant unique et immuable pour chaque utilisateur, une incohérence de 0,04 % force les services comme Slack et Notion à l’ignorer. Résultat : ils se reposent uniquement sur l’email et le domaine hébergé, rendant cette faille encore plus exploitable.

Réclamations sub, hd et par e-mail (Source : Trufflesecurity )

Réclamations sub, hd et par e-mail (Source : Trufflesecurity )

Actions prises par Google 

Après la mise en lumière de cette faille, Google a pris plusieurs mesures pour renforcer la sécurité de son système OAuth et limiter les risques liés à la réutilisation de domaines expirés :

  • Renforcement de la vérification des domaines expirés : Google a mis en place des contrôles plus stricts pour détecter et bloquer l’enregistrement de domaines expirés utilisés précédemment pour l’authentification OAuth. Ces contrôles visent à empêcher qu’un attaquant puisse récupérer un domaine abandonné et usurper l’identité d’anciens employés.

  • Modification des politiques de gestion des identifiants OAuth : Google travaille sur l’introduction d’identifiants immuables (un ID utilisateur unique et permanent ainsi qu’un ID d’organisation rattaché à l’entreprise d’origine). Ces identifiants permettraient d’éviter que l’authentification repose uniquement sur l’e-mail et le domaine, réduisant ainsi le risque d’usurpation d’identité en cas de réenregistrement de domaine.

  • Amélioration de la gestion des connexions OAuth : Google étudie des moyens de limiter la dépendance aux adresses e-mail et aux noms de domaine dans les processus d’authentification. L’entreprise explore des solutions pour renforcer la validation des comptes et exiger des mécanismes d’authentification supplémentaires lorsqu’un changement de domaine est détecté.

  • Collaboration avec les fournisseurs SaaS : Google encourage les services tiers utilisant OAuth à adopter des mesures de sécurité complémentaires, telles que la vérification croisée des dates d’enregistrement des domaines et l’activation d’une authentification à plusieurs facteurs obligatoire pour les connexions sensibles.

Bien que ces mesures renforcent la sécurité, leur mise en œuvre complète prendra du temps et nécessitera des ajustements techniques de la part des services tiers qui s’appuient sur Google OAuth pour l’authentification.

Comment se protéger contre les attaques liées aux domaines expirés?

Pour se protéger contre ce type d’attaque exploitant les domaines expirés et l’authentification OAuth, voici quelques conseils :

  • Utiliser des adresses e-mail personnelles pour les connexions importantes : Évitez d’utiliser une adresse e-mail professionnelle (associée à un domaine d’entreprise) pour créer des comptes sur des services externes. Préférez une adresse e-mail personnelle pour les comptes sensibles.

  • Activer la MFA : Ajoutez une couche de sécurité supplémentaire en activant la MFA ou des méthodes d’authentification fortes (via une application comme Google Authenticator ou des clés de sécurité physiques).

  • Mettre à jour et migrer les comptes après un changement d’emploi : Si vous quittez une entreprise, vérifiez quels services sont liés à votre ancienne adresse e-mail professionnelle et mettez à jour vos informations avec une nouvelle adresse personnelle.

  • Vérifier la politique de récupération de compte des services SaaS : Assurez-vous que les plateformes utilisées ne reposent pas uniquement sur l’email et le domaine pour identifier un utilisateur. Certaines entreprises permettent d’ajouter une adresse e-mail de secours ou un numéro de téléphone.

  • Protéger les domaines expirés de l’entreprise : Pour les entreprises, il est crucial de renouveler les domaines importants même après la fermeture afin d’éviter qu’un tiers malveillant ne les rachète.

  • Sensibiliser les équipes à ces risques : Les entreprises doivent informer leurs employés sur les dangers liés aux connexions OAuth et leur enseigner les bonnes pratiques pour sécuriser leurs comptes.

  • Vérifier si des comptes anciens sont encore actifs : Si vous avez utilisé un domaine professionnel dans le passé, testez si des services y sont encore liés et désactivez ou mettez à jour ces comptes.

Conclusion

La faille dans Google OAuth, exploitée via les domaines expirés, met en lumière les défis de sécurité liés à l’authentification moderne. Bien que Google ait pris des mesures pour renforcer son système, la responsabilité incombe également aux entreprises, aux développeurs et aux utilisateurs de rester vigilants. En adoptant des pratiques de sécurité rigoureuses, nous pouvons réduire les risques et protéger nos données dans un monde numérique en constante évolution.