Google a récemment corrigé une faille de sécurité dans Workspace. Des pirates ont exploité cette vulnérabilité pour créer des comptes sans vérification d'e-mail, leur permettant d'usurper des identités et d'accéder à des services tiers en passant par « Se connecter avec Google ». L'incident a touché plusieurs milliers de comptes.
Nouveau coup dur pour le géant de Mountain View. Google Workspace, utilisé par de nombreuses entreprises pour leur messagerie professionnelle et leurs outils collaboratifs, s'est retrouvé au cœur d'une faille de sécurité. Des hackers ont réussi à contourner le système de vérification des adresses mail.
Cette brèche a non seulement compromis l'intégrité de Workspace, mais a aussi exposé des services tiers utilisant l'authentification Google à des risques significatifs.
Une faille qui fragilise l'écosystème Google Workspace
La vulnérabilité découverte dans Google Workspace a permis aux pirates de créer des comptes sans passer par l'étape cruciale de vérification de l'adresse mail. En temps normal, pour créer un compte Workspace avec une adresse du type « [email protected] », l'utilisateur doit prouver qu'il possède bien cette adresse. Les hackers ont utilisé une méthode astucieuse pour contourner cette vérification : ils ont employé une adresse pour tenter de se connecter, et une autre totalement différente pour valider le jeton de sécurité.
Cette faille a ouvert la voie à des usurpations d'identité potentiellement dangereuses. Les comptes ainsi créés pouvaient être utilisés pour accéder à des services tiers en passant par la fonction « Se connecter avec Google ». La seule idée qu'un pirate se faisant passer pour un employé d'une entreprise accède à des données sensibles sur Dropbox ou d'autres plateformes connectées a certainement pu donner quelques remontées acides aux DSI.
Google a indiqué que quelques milliers de comptes Workspace ont été affectés. L'entreprise a réagi en bloquant les comptes suspects et en corrigeant la faille dans les 72 heures suivant sa découverte. Elle a également renforcé ses systèmes de détection pour prévenir de futurs contournements similaires.
Des zones d'ombre sur la chronologie et la gestion de l'incident
La gestion de cet incident par Google soulève des interrogations. Selon la version officielle, le problème aurait commencé fin juin et aurait été résolu rapidement. Cependant, des témoignages d'utilisateurs racontent une histoire différente. Certains affirment avoir été touchés dès début juin 2024, d'autres en juillet 2023 pour un cas similaire.
Un utilisateur déclare avoir signalé le problème à Google le 7 juin, bien avant la date officielle de découverte. Il possède même un numéro de ticket Buganizer (le système de suivi des bogues de Google) pour appuyer ses dires. Ces divergences jettent le doute sur la transparence de Google dans cette affaire.
La communication de l'entreprise laisse aussi à désirer. Au lieu d'un article de blog officiel détaillant l'incident et les mesures prises, Google s'est contentée d'envoyer des e-mails aux utilisateurs concernés.
« Au cours des dernières semaines, nous avons identifié une campagne d'abus à petite échelle dans laquelle des acteurs malveillants ont contourné l'étape de vérification de l'e-mail dans notre processus de création de compte pour les comptes Google Workspace vérifiés par e-mail (EV) à l'aide d'une requête spécialement conçue. Ces utilisateurs EV pouvaient ensuite être utilisés pour accéder à des applications tierces à l'aide de "Se connecter avec Google" », ont reçu les victimes, qui se sont donc assises sur des excuses.
Cette approche discrète ne favorise pas la confiance des utilisateurs, surtout pour un problème de cette ampleur. L'incident rappelle l'importance d'une authentification robuste et d'une vigilance constante, même avec les services réputés les plus sûrs. Et comme le font remarquer nos confrères du site Neowin, il souligne aussi le besoin de transparence des géants du Web quand la sécurité de leurs utilisateurs est en jeu.
- storage15 Go de stockage
- securityChiffrement natif en option
- alternate_emailPas de domaine personnalisé
- smartphoneApplications iOS, Android
- push_pinJurisdiction USA
Sources : KrebsonSecurity, Neowin