Imaginez le scénario cauchemardesque : votre startup fait faillite, vous perdez votre emploi, et pour couronner le tout, vos données personnelles les plus sensibles se retrouvent à la merci des pirates informatiques. C’est malheureusement le risque bien réel que courent les ex-employés de startups ayant mis la clé sous la porte, comme l’a récemment révélé Dylan Ayrey, chercheur en sécurité et cofondateur de Truffle Security.

Le piège des vieux logins Google

Le problème vient de l’utilisation généralisée de l’authentification unique Google (« Sign in with Google ») par les startups pour accéder à divers services SaaS. Si les fondateurs omettent de désactiver proprement ces accès lors de la fermeture, les hackers peuvent racheter les domaines expirés et recréer des adresses emails pour se connecter aux apps, souvent configurées pour donner accès à tous les employés.

Depuis ces comptes, ils peuvent alors récupérer les vrais emails des ex-salariés et, en combinant domaine et email, exploiter une faille dans l’OAuth de Google pour accéder à encore plus d’applications. Ayrey a ainsi pu, en achetant le domaine d’une startup disparue, se loguer dans ChatGPT, Slack, Notion, Zoom et même un système RH contenant des numéros de sécurité sociale.

Des données RH très convoitées

C’est d’ailleurs là que réside le plus gros risque selon lui, car les données des logiciels RH sont les plus faciles à monétiser pour les cybercriminels, avec les coordonnées bancaires et autres informations sensibles qu’ils contiennent. Les anciens emails Google ou documents ne sont par contre pas menacés.

Le chercheur estime que des dizaines de milliers d’ex-employés sont concernés, ayant identifié 116 000 domaines de startups technologiques à vendre, ainsi que des millions de comptes SaaS. Les startups sont particulièrement vulnérables de par leur usage intensif des outils Google et du cloud.

Des solutions de prévention imparfaites

Google dispose pourtant d’une parade avec un « sub-identifier », un identifiant unique et permanent par compte, à utiliser en plus de l’email. Mais un fournisseur RH a constaté que dans 0,04% des cas il changeait, générant des centaines de blocages par semaine malgré la faible proportion. Cela l’a dissuadé de s’en servir.

La firme de Mountain View, qui avait initialement rejeté le signalement d’Ayrey comme une simple fraude, a fini par changer d’avis et le récompenser. Elle n’a cependant pas encore corrigé la faille ni donné de timeline, se contentant de mettre à jour sa documentation pour recommander le sub-identifier et expliquer aux fondateurs comment bien fermer Google Workspace.

Quand un fondateur doit gérer la fermeture de sa boîte, il n’est probablement pas dans le bon état d’esprit pour penser à tout ce qu’il faut faire.

– Dylan Ayrey, chercheur en sécurité

La responsabilité finale revient donc aux entrepreneurs de bien verrouiller leurs services cloud. Mais comme le souligne Ayrey, un fondateur traversant cette épreuve n’est pas forcément le mieux placé pour y penser, entre gestion des ordinateurs, comptes bancaires, impôts…

Protégez vos données, même après la faillite

Malgré les bonnes pratiques que Google tente de promouvoir, ce risque de fuites massives reste pour l’instant bien réel et appelle à la vigilance de la part des employés et surtout des fondateurs. Voici quelques conseils clés :

• Désactivez tous les accès et comptes SaaS, en vérifiant bien les connexions Google OAuth
• Effacez les données et utilisateurs des logiciels RH et autres apps sensibles
• Supprimez votre domaine Google pour éviter qu’il ne soit racheté, suivez le guide officiel

En bref, même dans le tourbillon émotionnel d’un dépôt de bilan, n’oubliez pas de sécuriser vos systèmes informatiques. Vos employés et leurs données vous en seront reconnaissants. Et les hackers, eux, devront chercher une autre proie.