L’application Google Drive Desktop pour Windows présente une faille d’accès qui expose les fichiers de l’utilisateur. Cette vulnérabilité concerne la gestion des caches et l’accès aux données des utilisateurs.
Selon une analyse opérée par le chercheur Abdelghani Alhijawi, un utilisateur est en mesure d'accéder aux fichiers Google Drive d’un autre profil Windows, sans devoir passer par un processus d’authentification et de les synchroniser sur son propre compte.
Aucune mesure de sécurité
L'expert en sécurité explique que sur Windows, Google Drive Desktop conserve une copie locale des fichiers dans un dossier masqué appelé DriveFS. Ce répertoire cache les données synchronisées pour chaque utilisateur de l'OS. En revanche, ces profils ne disposent pas de leur propre enclave sécurisée. En effet, n'importe qui ayant accès à la machine est en mesure de copier les dossiers DriveFS d’un autre profil et de le placer dans son propre répertoire. Il suffit alors de redémarrer le client de synchronisation pour que l’ensemble des fichiers du compte cible deviennent accessibles, sans aucune vérification d’identité.
Contrairement à des solutions de stockage en ligne comme Tresorit ou Proton Drive, le client Google Drive ne chiffre pas les fichiers stockés localement pour chaque utilisateur, mais en plus, il ne procède donc à aucune vérification des authentifications lors du montage des caches.
L'accès aux fichiers d'un tiers est donc relativement facile. Et cela concerne aussi bien des utilisateurs au sein d'un foyer, mais également les salariés d'une entreprise ou d'un organisme partageant un même poste de travail.
Un fonctionnement critiqué par toutes les directives de sécurité
En matière de sécurité informatique, il existe trois directives. Le NIST SP 800–53 a été élaboré par le National Institute of Standards and Technology (NIST) aux États-Unis. L’Organisation internationale de normalisation (ISO) a de son côté conçu l'ISO 27001. Le SOC 2 est pour sa part est une norme américaine, principalement utilisée pour les prestataires de services cloud et informatiques. Toutes prescrivent une stricte isolation des données, des contrôles d’accès minimaux, ainsi que des mécanismes d’expiration ou de révocation de session. Or, le fonctionnement actuel de Google Drive Desktop contrevient à chacune de ces directives…
Pour pallier cette faille, il est donc recommandé d'effacer systématiquement le cache DriveFS lors de la déconnexion, et, pour les entreprises, à ne déployer Drive Desktop que sur des terminaux dédiés.
Abdelghani Alhijawi affirme avoir contacté Google. L'entreprise aurait simplement affirmé qu'il ne s'agit pas d'un bug de sécurité. Reste à savoir si le problème sera tout de même corrigé.
