GhostToken, pas vraiment critique ? Il s’est en tout cas écoulé près de dix mois entre le signalement de cette faille à Google et la mise en place d’un correctif.
Que permettait cette vulnérabilité ? Dans les grandes lignes, compliquer la détection d’applications malveillantes connectées à des comptes Google. Ce en les masquant sur la page « Applications tierces ayant accès à votre compte ».
Développer les apps en question implique de les lier à un projet GCP. Lorsqu’on en « éteint » un, il n’est pas immédiatement supprimé : une fenêtre de restauration de 30 jours s’enclenche d’abord.
Jusqu’au déploiement du correctif, pendant cette période de 30 jours, les applications tierces disparaissaient de la page de gestion des accès. En parallèle, restaurer le projet réactivait le jeton principal (permettant de générer les jetons d’accès).
Grâce à GhostToken, les attaquants bénéficiaient donc de bien plus de discrétion – une forme de porte dérobée. Cela supposait toutefois qu’en premier lieu, la victime ait installé l’app malveillante…
À consulter pour davantage de contexte :
Cybersécurité : 5 métiers parmi les plus cotés en France
13 failles 0-day vectrices de cyberespionnage en 2022
Une faille fait basculer les antivirus du côté obscur
Développement logiciel sécurisé : le choix des Five Eyes
Cybersécurité : derrière l’essor du couple EDR-MFA, ce que perçoit le CESIN
Photo d’illustration © weerapat1003 – Adobe Stock
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…