contact@innovations.fr
Publier mon innovation

Sécurité des données : l’enjeu majeur pour les start-ups

Accueil - Technologies et Avenirs - Start-ups - Sécurité des données : l’enjeu majeur pour les start-ups
Sécurité des données lenjeu majeur pour les start ups Innovationsfr
janvier 19, 2025

Sécurité des données : l’enjeu majeur pour les start-ups

Imaginez le scénario cauchemardesque : la start-up dans laquelle vous travailliez met la clé sous la porte. Non seulement vous perdez votre emploi, mais en plus, vos données personnelles - allant de vos échanges Slack privés à votre numéro de sécurité sociale - se retrouvent à la merci des cybercriminels. C'est la menace à laquelle sont confrontés les employés de start-ups ayant fait faillite, comme l'a récemment démontré Dylan Ayrey, chercheur en sécurité.

Un chercheur en cybersécurité sonne l'alarme

Dylan Ayrey, cofondateur et PDG de la start-up Truffle Security soutenue par Andreessen Horowitz, est connu pour avoir créé l'outil open source TruffleHog. Ce dernier aide à détecter les fuites de données si des acteurs malveillants mettent la main sur des identifiants de connexion comme des clés API, des mots de passe ou des jetons. Lors de la conférence ShmooCon, Ayrey a révélé une faille de sécurité liée à Google OAuth, le système d'authentification "Se connecter avec Google".

Selon ses recherches, si des hackers achètent les domaines expirés d'une start-up en faillite, ils peuvent les utiliser pour se connecter aux applications cloud configurées pour donner accès à tous les employés de l'entreprise, comme un chat ou une app vidéo. De là, ces applications fournissent souvent des annuaires d'entreprise ou des pages de profil utilisateur où le hacker peut découvrir les vrais e-mails des ex-employés.

Des données sensibles en danger

En possession du domaine et de ces e-mails, les hackers pourraient utiliser l'option "Se connecter avec Google" pour accéder à de nombreuses applications cloud de la start-up, trouvant souvent davantage d'e-mails d'employés. Pour tester cette faille, Ayrey a acheté le domaine d'une start-up en faillite. Il a ainsi pu se connecter à ChatGPT, Slack, Notion, Zoom et un système RH contenant des numéros de sécurité sociale.

C'est probablement la plus grande menace. Les données d'un système RH dans le cloud sont les plus faciles à monétiser, et les numéros de sécurité sociale, les informations bancaires et tout ce qui se trouve dans les systèmes RH ont de grandes chances d'être ciblés.

– Dylan Ayrey, chercheur en cybersécurité

Selon les calculs d'Ayrey, des dizaines de milliers d'anciens employés sont à risque, ainsi que des millions de comptes de logiciels SaaS. Il a en effet découvert 116 000 domaines de start-ups technologiques en faillite actuellement en vente.

Une prévention incomplète

Google dispose d'une technologie dans sa configuration OAuth qui devrait empêcher les risques soulignés par Ayrey, si le fournisseur de cloud SaaS l'utilise. Il s'agit d'un "sous-identifiant", une série de chiffres unique à chaque compte Google. Même si un employé a plusieurs adresses e-mail liées à son compte Google professionnel, le compte ne devrait avoir qu'un seul sous-identifiant.

Cependant, en travaillant avec un fournisseur de RH cloud touché, Ayrey a découvert que cet identifiant était "peu fiable", changeant dans un très faible pourcentage de cas (0,04 %). Bien que statistiquement proche de zéro, pour un fournisseur RH gérant un grand nombre d'utilisateurs quotidiens, cela se traduit par des centaines de connexions échouées chaque semaine, bloquant l'accès des personnes à leurs comptes.

Google revoit sa position

Initialement, Google avait rejeté le rapport de bug d'Ayrey, le considérant comme un problème de "fraude" plutôt qu'un bug. Mais trois mois plus tard, juste après l'acceptation de sa présentation à ShmooCon, Google a changé d'avis, rouvert le ticket et versé une prime de 1 337 dollars à Ayrey. Google n'a pas encore publié de correctif technique pour cette faille, ni de calendrier pour le faire. La société a cependant mis à jour sa documentation pour indiquer aux fournisseurs cloud d'utiliser le sous-identifiant.

En fin de compte, selon Google, la solution consiste pour les fondateurs qui ferment une entreprise à s'assurer qu'ils clôturent correctement tous leurs services cloud. Mais comme le souligne Ayrey, lui-même fondateur, la fermeture d'une entreprise est un processus compliqué qui intervient à un moment potentiellement difficile sur le plan émotionnel.

Lorsque le fondateur doit gérer la fermeture de l'entreprise, il n'est probablement pas dans un bon état d'esprit pour penser à tout ce à quoi il doit penser.

– Dylan Ayrey, chercheur en cybersécurité

Cette découverte met en lumière l'importance cruciale d'une procédure rigoureuse lors de la fermeture d'une start-up, afin de protéger les données sensibles des employés. Les fondateurs doivent être sensibilisés à ces enjeux et accompagnés dans ce processus délicat. De leur côté, les employés doivent rester vigilants et surveiller toute activité suspecte sur leurs comptes personnels. C'est un effort collectif qui permettra de renforcer la cybersécurité dans l'écosystème des start-ups.

Mots Clés:
Partager:

Steven Soarez Rédacteur Web

Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.

Autres Sujets

Ajouter Un Commentaire

Chercher

Beauty and lifestyle influencer

Follow my journey on all Social Media channels

Alienum phaedrum torquatos nec eu, vis detraxit periculis ex, nihilmei. Mei an pericula euripidis, hinc partem ei est.
facebook
5M+
Facebook followers
Follow Me
youtube
4.6M+
Youtube Subscribers
Subscribe Me
tiktok
7M+
Tiktok Followers
Follow Me
instagram
3.4M+
Instagram Followers
Follow Me