Google a stocké des mots de passe en texte brut à cause d’une erreur vieille de 14 ans

Publié le

Après sa décision de couper les ponts avec Huawei, la firme de Mountain View fait encore parler d’elle. Récemment, Google a informé un nombre indéterminé d’utilisateurs que leurs mots de passe avaient été stockés en texte clair dans ses systèmes internes, et ce, à cause d’un problème technique vieux de 14 ans.

Le problème n’affecte pas les comptes Google gratuits

Le problème de sécurité touche uniquement certains comptes d’entreprises utilisant le produit payant G Suite. Les particuliers ne sont pas concernés.  Suzanne Frey, vice-présidente de l’ingénierie de la division Cloud de Google a fait savoir ce mardi que la firme « n’avait aucune preuve d’un accès inapproprié ou d’une mauvaise utilisation des comptes affectés ».

Frey a également saisi cette occasion pour s’excuser au nom de Google auprès des utilisateurs dont les mots de passe n’étaient pas directement protégés par un hachage :

Nous prenons la sécurité de nos clients extrêmement au sérieux et nous sommes fiers de faire progresser les meilleures pratiques de l’industrie en matière de sécurité des comptes “, a déclaré Frey. “Ici, nous n’avons pas été à la hauteur de nos propres exigences ni de celles de nos clients.”

Que s’est-il passé ?

Selon les investigations, ce problème d’ordre technique est lié à l’utilisation d’une console d’administration pas suffisamment sécurisée lors de la mise en place de G Suite en 2005. C’est cette console qui copiait et stockait les mots de passe en texte brut.

Google a découvert son erreur en janvier 2019. La firme aurait « stocké par inadvertance, un sous-ensemble de mots de passe non hachés dans son infrastructure ». L’infrastructure de Google était cependant protégée par un chiffrement.  Le stockage des mots de passe concernés n’aurait duré que deux semaines au maximum. Google recommande néanmoins aux administrateurs d’entreprises utilisant G Suite de réinitialiser leurs mots de passe par mesure de précaution.

Source : Blog Google Cloud

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet