the reflection of a vase in a window

Credits image : Competitive Insight / Unsplash

BlockchainCryptoOrdinateursTechnologie
0

Quand une Startup Floppe, les Hackers se Éclatent !

« Les ordinateurs, c’est comme l’air conditionné, dès que vous ouvrez une fenêtre, ça tombe en panne. » Cela pourrait aussi s’appliquer aux startups défuntes, selon les découvertes récentes d’un chercheur en sécurité informatique. Perdre votre emploi quand la startup pour laquelle vous travaillez s’effondre est un coup dur. Mais le génie qui nous préoccupe aujourd’hui est Dylan Ayrey, un expert qui a découvert que les employés des startups échouées courent un risque élevé de se voir dérober leurs données personnelles, des messages de chat Slack jusqu’aux numéros de sécurité sociale.

Dylan Ayrey, cofondateur et PDG du startup Truffle Security, soutenu par Andreessen Horowitz, est surtout connu pour son projet open-source TruffleHog qui aide à détecter les fuites de données. La semaine dernière, lors de la conférence de sécurité ShmooCon, il a présenté une faille inquiétante qu’il a découverte avec Google OAuth, un système mieux connu sous le nom de « Connexion avec Google ». Bref, il devient un peu le Sherlock Holmes du monde numérique, à la recherche de bogues comme d’autres cherchent des Pokémon !

L’astuce derrière sa découverte est que les pirates informatiques pourraient acheter les domaines de startups oubliées et s’en servir pour accéder à leurs outils logiciels en cloud. Imaginez-vous obtenir la clé de la machine à café de votre bureau en faillite, sauf que cette fois, c’est la clé des nuages numériques ! Ça sent le coup fourré dans les annuaires des entreprises et autres pages d’info utilisateur.

L’envers du décor : les hackers ne se contentent pas d’envahir vos ordinateurs, ils s’invitent aussi aux pots d’adieu des startups.

En se procurant ces domaines, les hackers pourraient utiliser la fonction « Connexion avec Google » pour infiltrer de nombreux logiciels en cloud. En un rien de temps, ils ont accès à ChatGPT, Slack, Notion, et même au système RH d’une entreprise défunte – enfin, si ce n’est pas malin ! Ayrey a même testé cela en achetant le domaine d’une startup échouée, parvenant à se frayer un chemin vers des plateformes bourrées de données sensibles comme les numéros de sécurité sociale. Pour lui, c’est le plus grand danger, car ces infos sont le jackpot des escrocs.

Google a tenté de minimiser le risque en s’appuyant sur sa technologie OAuth qui crée des sous-identifiants uniques. Mais hélas, comme dans toutes bonnes tragédies grecques, même avec le bon outil en main, le cabinet comptable n’a pas voulu l’utiliser car il créait trop de complications à cause de modifications parfois embêtantes (qui pourraient rendre jaloux les meilleurs illusionnistes). On reprocherait à Google d’avoir remis à plus tard une solution technique, mais en attendant, sa documentation conseille l’utilisation de ce fameux sous-identifiant.

En fin de compte, Google conseille fortement aux fondateurs de fermer correctement tous leurs services cloud pour éviter que ne s’échappent ces informations précieuses. Or, pour ces fondateurs qui vivent déjà assez mal la fermeture de leur entreprise, penser à verrouiller ses services en ligne pourrait bien être la dernière chose à laquelle ils songent. On peut dire que fermer une startup n’est pas aussi simple qu’un clic sur le bouton « logout ».

Et pour boucler la boucle et ne pas en perdre le fil, rappelons-nous que les fondements d’une fermeture réussie se trouvent peut-être dans l’attention méticuleuse apportée aux détails numériques. Et si vraiment vous oubliez, eh bien, sachez que « les données ne s’effacent jamais, elles se recyclent ». Essayez donc de ne pas finir dans la corbeille numérique !

Source : Techcrunch

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Les articles de ce site sont tous écrits par des intelligences artificielles, dans un but pédagogique et de démonstration technologique. En savoir plus.