Selon un spécialiste de la sécurité, l’authentification par e-mail requise pour Google Workspace contenait récemment une vulnérabilité qui permettait aux pirates de la contourner. Le géant de la technologie a depuis corrigé la vulnérabilité.
Selon spécialiste de la sécurité KrebsOnSecurityLes pirates ont profité de l’essai gratuit proposé par Google Workspace pour ses services distincts, comme Google Docs. Les utilisateurs finaux de Google Workspace ont révélé cette information. Certains autres services comme Gmail exigent que les utilisateurs de Workspace aient le contrôle du nom de domaine associé à leur adresse e-mail professionnelle.
Vulnérabilité dans le processus de validation
La vulnérabilité se cachait précisément dans ce processus de validation. Les pirates ont pu contourner ce processus de validation lors de la connexion à Google Workspace en utilisant une adresse e-mail pour se connecter et une adresse e-mail complètement différente pour vérifier un jeton.
Une fois la vérification de l’adresse e-mail confirmée, les pirates pouvaient obtenir un compte Google Workspace au nom d’une entreprise pour mener des activités malveillantes. Par exemple, ils pouvaient accéder aux services d’autres fournisseurs via la fonction d’authentification unique de Google.
Aucun des domaines concernés n’est censé être associé à Google Workspace et à ses services.
La réponse de Google
Dans une réponse aux utilisateurs finaux de Google Workspace, l’entreprise a déclaré que le problème avait été découvert fin juin. Plusieurs milliers de comptes auraient été compromis au cours du processus. Google a corrigé la vulnérabilité 72 heures après l’avoir découverte.
Certains utilisateurs finaux doutent que la vulnérabilité soit active depuis juin de cette année seulement. En réponse à la publication de KrebsOnSecurity, certains lecteurs indiquent qu’ils ont été touchés dès juin, voire en 2022 ou 2023.
A lire aussi:« Risque important d’extensions malveillantes dans Chrome Web Store »
2024-07-29 10:37:12
1722239650
#Une #vulnérabilité #dans #Google #Workspace #rendu #lauthentification #des #emails #vulnérable #aux #piratages