OAuth : une vulnérabilité met-elle en danger l'authentification ?
Depuis plusieurs semaines, un comportement fait débat sur OAuth de Google. Ce service permet de s'authentifier rapidement notamment grâce à son compte Google. Dylan Ayrey a mis en évidence un problème de sécurité potentiellement majeur : il a réussi à s'authentifier à des comptes qui ne lui appartenaient pas. Pour pouvoir réaliser cet exploit, il faut récupérer un domaine d'une entreprise qui a cessé son activité, de facto, le domaine n'est plus actif. Une fois récupéré le domaine, Ayrey a pu se connecter via OAuth avec les identifiants pour accéder aux données encore présentes. Trop souvent, les entreprises oublient d'effacer systématiquement les données et les comptes utilisateurs quand elles arrêtent toutes activités. En récupérer le domaine, un hacker pourrait potentiellement accéder à tout ce qui se trouve derrière OAuth. Pour Ayrey, le problème est qu'il possible d'acheter un domaine d'une startup qui a cessé d'exister et potentiellement d'accéder aux données de ce domaine. Bref, il n'y a pas de protection contre l'achat d'un domaine d'une entreprise qui a fermé.Ayrey avait signalé le problème à Google fin septembre 2024. Courant décembre, Google ouvre un ticket de bug pour vérifier et inspecter le problème et éventuellement trouver un correctif. Google préconise de supprimer toutes les données et tous les comptes quand l'entreprise cesse son activité. Pour réduire le risque, Google recommande aussi d'utiliser le champ sub pour mieux sécuriser l'accès. Google a ajouté dans la documantion :Avertissement:Lorsque vous implémentez votre système de gestion de compte, n'utilisez pas le champ email du jeton d'ID comme identifiant unique d'un utilisateur. Utilisez toujours le champ sub, car il est propre à un compte Google, même si l'utilisateur modifie son adresse e-mail.Catégorie actualité: TechnologiesGoogle, OAuth, AyreyImage actualité AMP:
Depuis plusieurs semaines, un comportement fait débat sur OAuth de Google. Ce service permet de s'authentifier rapidement notamment grâce à son compte Google. Dylan Ayrey a mis en évidence un problème de sécurité potentiellement majeur : il a réussi à s'authentifier à des comptes qui ne lui appartenaient pas.
Pour pouvoir réaliser cet exploit, il faut récupérer un domaine d'une entreprise qui a cessé son activité, de facto, le domaine n'est plus actif. Une fois récupéré le domaine, Ayrey a pu se connecter via OAuth avec les identifiants pour accéder aux données encore présentes. Trop souvent, les entreprises oublient d'effacer systématiquement les données et les comptes utilisateurs quand elles arrêtent toutes activités. En récupérer le domaine, un hacker pourrait potentiellement accéder à tout ce qui se trouve derrière OAuth.
Pour Ayrey, le problème est qu'il possible d'acheter un domaine d'une startup qui a cessé d'exister et potentiellement d'accéder aux données de ce domaine. Bref, il n'y a pas de protection contre l'achat d'un domaine d'une entreprise qui a fermé.
Ayrey avait signalé le problème à Google fin septembre 2024. Courant décembre, Google ouvre un ticket de bug pour vérifier et inspecter le problème et éventuellement trouver un correctif.
Google préconise de supprimer toutes les données et tous les comptes quand l'entreprise cesse son activité. Pour réduire le risque, Google recommande aussi d'utiliser le champ sub pour mieux sécuriser l'accès. Google a ajouté dans la documantion :
Avertissement:Lorsque vous implémentez votre système de gestion de compte, n'utilisez pas le champ email du jeton d'ID comme identifiant unique d'un utilisateur. Utilisez toujours le champ sub, car il est propre à un compte Google, même si l'utilisateur modifie son adresse e-mail.
Quelle est votre réaction ?
