Google stockait des mots de passe en clair depuis... 2005

22 mai 2019 à 10h53
11
Google Chrome mobile
Nuttapol Sn / Shutterstock.com

G Suite est un outil destiné aux professionnels pour les applications Google. Dans le passé, l'administrateur pouvait définir le mot de passe d'un employé qui était stocké dans un fichier texte non crypté. C'est cette faible protection qui a été découverte par les clients et corrigée par Google.

C'est une faille longue de 14 ans qui aura frappé les utilisateurs professionnels de Google passant par G Suite. À travers une note de blog, la firme américaine explique qu'une partie des mots de passe stockés sur ses serveurs était non chiffrée. Une faille sécuritaire de taille pour l'un des fleurons du milieu de la tech.

Un petit pourcentage d'utilisateurs touchés par cette faille

Comme l'explique dans une note de blog Suzanne Frey, Vice-présidente de l'ingénierie chez Google Cloud Trust, plusieurs mots de passe d'utilisateurs professionnels G Suite n'étaient pas chiffrés sur ses serveurs. Une faille présente depuis 2004 et découverte récemment mais n'affectant pas, selon la firme américaine, les possesseurs d'un compte public gratuit. Pour faire face à ce problème de taille, Google invite les professionnels à réinitialiser leurs mots de passe et annonce travailler avec eux pour effectuer cette démarche au plus vite.

En revanche, Google n'a pas communiqué sur le nombre de clients G Suite touchés, mais évoque un nombre infime. Histoire de rassurer toujours plus les entreprises, Google précise également ne pas avoir remarqué d'accès non autorisé à ses serveurs ayant pu permettre la récupération des mots de passe non chiffrés par une tierce personne. Le problème a, bien évidemment, été corrigé depuis.

Twitter et Facebook également touchés dans le passé

Ce n'est pas la première fois qu'une plateforme aux millions d'utilisateurs doit faire face à une réinitialisation de mots de passe suite à une mauvaise protection. En mars dernier, Twitter en avait été victime avec 330 millions de comptes touchés suite à une faille de sécurité.

Facebook n'est pas en reste avec l'accès aux mots de passe de millions d'utilisateurs par 2 000 employés via un fichier interne non crypté. Cette même faille de sécurité avait affecté par ricochet le réseau social Instagram.

Source : The Verge
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
11
0
TofVW
Et quand Google découvre une faille chez Microsoft, ils la rendent publique au bout d’un mois. Quand va-t-on enfin se débarrasser de cette boîte malsaine, à la fin?
Saulofein
L’article ne dis pas combien de temps Google ont mis entre la découverte de ce problème et la correction. Ils ont peut-être mis moins d’une semaine, tu n’en a aucunes idées…<br /> Qui plus est, seul les personnes ayant connaissance de cette faille, et disposant d’un accès aux serveurs étaient susceptibles de lire ces fichiers, donc a priori pas grand monde.
bmustang
Saulofein : c’est ce que tu crois ! mais la réalité sur cette faille concernant Gsuite est sans doute bien différente ? Mais ça va google a bien rassuré son petit monde de client professionnel et ils peuvent dormir les points fermés
bmustang
A qui à bien pu profiter cette faille ? Mystèrieux ce google
Vinks
Étant administrateur d’un G suite, je trouve dommage que l’article ne rassure pas en disant qu’il s’agit des mots de passe générés automatiquement et à usage unique lors d’un reinitialisation de mot de passe.
Vinks
Ceux qu’on doit changer instantanément et valables pas longtemps globalement…
Momozemion
C’est toujours marrant de lire les news dès qu’il y a un peu de technique, on constate toujours à quel point l’auteur ne pige même pas ce qu’il écrit.<br /> Le mots de passe n’étaient pas hashés, ce n’est pas la même chose.<br /> Toujours pas la moindre trace d’un dictionnaire informatique à la rédaction ?
Popoulo
Si c’est comme le dit Vinks, votre article est trompeur et le titre, on en parle même pas.
Saulofein
Sur quoi tu te base pour faire de telles affirmation?
Saulofein
Pas a eux en tout cas<br /> “Les mots de passe étaient finalement chiffrés lorsqu’ils étaient stockés sur disque, a ajouté Google, ce qui signifie que les employés de Google ou les intrus ne pouvaient ni voir ni lire les mots de passe en clair.”<br /> Trouvé sur ZDnet, l’article est plus détaillé.
Momozemion
Pour te le dire, il faudrait qu’ils le sachent et comprennent de quoi on parle.<br /> On est sur clubic…
Voir tous les messages sur le forum

Actualités du moment

Nintendo : Animal Crossing Pocket Camp et Fire Emblem Heroes bientôt interdits en Belgique
Le nouveau Mozilla Firefox 67 est là, et il est bien plus rapide !
⚡ Bon plan : Enceinte multiroom Sonos Play:3 à 299€ au lieu de 349€
AMD Navi : les Radeon RX 3080 et 3070 sont en fuite et battent les GeForce RTX 2070 et 2060
Bose annonce une nouvelle enceinte portable qui intègre Google Assistant
La néobanque Pixpay se prépare à lancer une offre destinée aux 10-18 ans
Cryptomonnaies : la Banque de France s'intéresse de près aux stablecoins
Audi : un nouveau Q5 55 TFSI e quattro... avec 40 km d'autonomie en
Microsoft détaille ses actions pour rendre le jeu sur Xbox Live plus fair play
L'avenir du stockage : des datacenters plus verts, ultra-rapides et économes en énergie
Haut de page