Google stockait des mots de passe en clair depuis... 2005

Publié le 22 mai 2019 à 10h53

Nuttapol Sn / Shutterstock.com

G Suite est un outil destiné aux professionnels pour les applications Google. Dans le passé, l'administrateur pouvait définir le mot de passe d'un employé qui était stocké dans un fichier texte non crypté. C'est cette faible protection qui a été découverte par les clients et corrigée par Google.

C'est une faille longue de 14 ans qui aura frappé les utilisateurs professionnels de Google passant par G Suite. À travers une note de blog, la firme américaine explique qu'une partie des mots de passe stockés sur ses serveurs était non chiffrée. Une faille sécuritaire de taille pour l'un des fleurons du milieu de la tech.

Un petit pourcentage d'utilisateurs touchés par cette faille

Comme l'explique dans une note de blog Suzanne Frey, Vice-présidente de l'ingénierie chez Google Cloud Trust, plusieurs mots de passe d'utilisateurs professionnels G Suite n'étaient pas chiffrés sur ses serveurs. Une faille présente depuis 2004 et découverte récemment mais n'affectant pas, selon la firme américaine, les possesseurs d'un compte public gratuit. Pour faire face à ce problème de taille, Google invite les professionnels à réinitialiser leurs mots de passe et annonce travailler avec eux pour effectuer cette démarche au plus vite.

En revanche, Google n'a pas communiqué sur le nombre de clients G Suite touchés, mais évoque un nombre infime. Histoire de rassurer toujours plus les entreprises, Google précise également ne pas avoir remarqué d'accès non autorisé à ses serveurs ayant pu permettre la récupération des mots de passe non chiffrés par une tierce personne. Le problème a, bien évidemment, été corrigé depuis.

Twitter et Facebook également touchés dans le passé

Ce n'est pas la première fois qu'une plateforme aux millions d'utilisateurs doit faire face à une réinitialisation de mots de passe suite à une mauvaise protection. En mars dernier, Twitter en avait été victime avec 330 millions de comptes touchés suite à une faille de sécurité.

Facebook n'est pas en reste avec l'accès aux mots de passe de millions d'utilisateurs par 2 000 employés via un fichier interne non crypté. Cette même faille de sécurité avait affecté par ricochet le réseau social Instagram.

Source : The Verge

Par Nassim Chentouf

Aucun résumé disponible

Articles de Nassim Chentouf

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

TofVW

Et quand Google découvre une faille chez Microsoft, ils la rendent publique au bout d’un mois. Quand va-t-on enfin se débarrasser de cette boîte malsaine, à la fin?

Saulofein

L’article ne dis pas combien de temps Google ont mis entre la découverte de ce problème et la correction. Ils ont peut-être mis moins d’une semaine, tu n’en a aucunes idées…
Qui plus est, seul les personnes ayant connaissance de cette faille, et disposant d’un accès aux serveurs étaient susceptibles de lire ces fichiers, donc a priori pas grand monde.

bmustang

Saulofein : c’est ce que tu crois ! mais la réalité sur cette faille concernant Gsuite est sans doute bien différente ? Mais ça va google a bien rassuré son petit monde de client professionnel et ils peuvent dormir les points fermés

bmustang

A qui à bien pu profiter cette faille ? Mystèrieux ce google

Vinks

Étant administrateur d’un G suite, je trouve dommage que l’article ne rassure pas en disant qu’il s’agit des mots de passe générés automatiquement et à usage unique lors d’un reinitialisation de mot de passe.

Vinks

Ceux qu’on doit changer instantanément et valables pas longtemps globalement…

Momozemion

C’est toujours marrant de lire les news dès qu’il y a un peu de technique, on constate toujours à quel point l’auteur ne pige même pas ce qu’il écrit.

Le mots de passe n’étaient pas hashés, ce n’est pas la même chose.

Toujours pas la moindre trace d’un dictionnaire informatique à la rédaction ?

Popoulo

Si c’est comme le dit Vinks, votre article est trompeur et le titre, on en parle même pas.

Saulofein

Sur quoi tu te base pour faire de telles affirmation?

Saulofein

Pas a eux en tout cas
“Les mots de passe étaient finalement chiffrés lorsqu’ils étaient stockés sur disque, a ajouté Google, ce qui signifie que les employés de Google ou les intrus ne pouvaient ni voir ni lire les mots de passe en clair.”
Trouvé sur ZDnet, l’article est plus détaillé.