Présentation

GWS Audit est un outil écrit en Python pour l'audit de la configuration de sécurité d’un environnement Google Workspace. Il n'a pas de caractère offensif, et ne contient pas de requête destructrice pour les données ou la configuration : il ne fait que lire et chercher.

Important : il est néanmoins impératif d'avoir un accord écrit préalable de la part de l'entité qui possède le GWS.

Fonctionnalités

Analyse des paramètres de sécurité

• configuration SPF/DKIM/DMARC ;
• administrateurs sans MFA ;
• utilisateurs sans MFA ;
• périphériques dont le disque n'est pas chiffré :
  • NB : l'efficacité de détection dépend du type de périphérique et de son intégration avec GWS.

Vérification des bonnes pratiques :

• comptes sans numéro de téléphone de récupération ;
• comptes ayant une adresse email externe de récupération ;
• transferts automatiques vers d'autres BAL ;
• transferts automatiques avec suppression de l'email ensuite (filtres Gmail) ;
• comptes inactifs ;
• périphériques inactifs ;
• détection de groupes dans lesquels n'importe qui peut poster ;
• détection de fichiers sensibles par mots-clefs (NB : recherche dans leur nom/chemin uniquement, pas dans leur contenu) ;
• détection de dossiers/partagés sans ACL ("à tous").

Configuration des audits

• La section RULES, en début de script, permet de paramétrer (activer/désactiver) chaque audit, en spécifiant le booléen (True/False) ;
  • voici la configuration par défaut (tout activé sauf l'audit GDrive) :

• NB : l'audit GDrive peut être très long (pour cause d'énumération des fichiers partagés par utilisateur) !
• Certaines variables peuvent être modifiées, telles que les mots-clef "sensibles" à chercher, ou les mots-clef de détection de comptes partagés.

Rapport

• L'outil embarque une génération automatique de rapports

  • NB : par défaut, les rapports et fichiers de données générés sont dans le dossier "output" (qui est paramétrable au début du script)

• 3 formats de rapports générés en standard : JSON, MarkDown, et HTML

• Voici l'entête du fichier rapport (format HTML) :

• Un exemple de rapport HTML (échantillon anonymisé) est fourni : report-20260220-092026.html

Usage

Prérequis

• GAM :
  • Attention : sans GAM, le script ne fonctionnera pas (sauf pour la partie SPF/DKIM/DMARC)
  • GAM doit être installé et paramétré correctement par rapport au GWS à auditer.
• Python 3.8+ :
  • les prérequis sont spécifiés dans le fichier "requirements.txt" ;
• Un compte sur l'environnement GWS avec rôle administrateur.

Lancement de l'outil

Dans un terminal (Windows CMD) : python.exe .\gws_audit.py

NB : ne pas oublier d'enlever la sécurité du script (cf. code source)

Captures d'écran de l'exécution

Evolutions futures

Détection de comptes non managés

• Exploitation de la commande GAM

Détection de délégation illégitime

• Exploitation de la commande GAM

Pour aller plus loin

Questionnaires

• Questionnaire Google :
  • "check list" de sécurité de Google

Outillage

• Outil complémentaire :
  • AdminPulse for Workspace
  • NB : attention, c'est tout en anglais... et en clicodrôme sous Google Spreadsheets (via une extension) !