Accueil Cybersécurité OAuth est-il (réellement) compromis ?

OAuth est-il (réellement) compromis ?

Depuis quelques semaines, la sécurité de OAuth fait débat. OAuth est une solution d’authentification largement utilisée, notamment en utilisant un compte Google.

Une vulnérabilité met à mal la sécurité. Un domaine d’une entreprise fermée peut être utilisé par un hacker pour accéder aux données encore présentées et bien plus comme accéder à des outils tiers tels que Zoom. Une fois l’authentification faite, l’utilisateur / hacker peut agir si aucune restriction n’est faite.

Il faut que le hacker récupère le domaine abandonné pour réactiver le compte et accéder au système.

Problème : est-ce un comportement normal du service OAuth comme le disait Google ou un réel bug ? Google a revu sa position en décembre dernier et a ouvert un rapport de bug pour inspecter la vulnérabilité, comprendre l’origine du mal et voir comment le régler. Cela signifie que pour le moment, le bug ou la vulnérabilité, c’est selon le point de vue, n’a pas de solution.

Google préconise de respecter les règles de sécurité et d’effacer toutes les données quand les comptes sont fermés.

A la mi-janvier, Google a ajouté un avertissement sur la documentation technique : « Lors de la mise en œuvre de votre système de gestion de compte, vous ne devez pas utiliser le champ e-mail dans le jeton d’identification comme identifiant unique pour un utilisateur. Utilisez toujours le sous-champ car il est unique à un compte Google, même si l’utilisateur change d’adresse e-mail. »