Oups, Google a stocké des mots de passe en clair pendant des années

Fondé en 1998 par Larry Page et Sergey Brin, Google est aujourd’hui une entreprise de grande renommée. Malgré son expertise, la firme commet toutefois des erreurs de temps en temps. Récemment, elle a ainsi reconnu dans un billet de blog qu’elle avait stocké des mots de passe en clair pendant plusieurs années, une erreur ayant seulement affecté les utilisateurs avec des comptes G Suite payants.

Selon une enquête interne, le problème proviendrait du développement d’un outil permettant aux administrateurs de comptes G Suite Entreprise de générer les mots de passe de leurs nouveaux employés depuis leur console de gestion il y a quinze ans, c’est-à-dire en 2005.

Crédits Pixabay

Cette fois-ci, Google a eu beaucoup de chance puisque personne n’aurait jamais mis la main sur les mots de passe en question. En revanche, la firme devra renforcer sa sécurité si elle souhaite que ses clients continuent de lui faire confiance.

Un bug dans un ancien outil

D’après l’enquête de Google, le problème date d’il y a quatorze ans, lors du développement d’un nouvel outil pour les administrateurs de comptes G Suite Entreprise. Selon Suzanne Frey, vice-présidente ingénierie Cloud Trust : « L’outil (situé dans la console d’administration) permettait aux administrateurs d’uploader ou de définir manuellement les mots de passe des utilisateurs de leur entreprise. »

Depuis, cet outil a été abandonné. Par contre, les mots de passe en clair sont restés dans les bases de données de la firme.

En temps normal, les mots de passe des utilisateurs sont chiffrés par un processus de hachage avant d’être stockés dans des bases de données. Ainsi, même si un hacker parvenait à accéder aux bases de données, il ne serait pas capable de déchiffrer le mot de passe. Par contre, dans ce cas précis, les mots de passe étaient stockés en clair au lieu d’être hachés. Heureusement, l’enquête menée par la société a révélé que personne n’a pu accéder aux serveurs de Google. De plus, aucune utilisation frauduleuse des mots de passe n’a été détectée par les enquêteurs.

Les administrateurs doivent changer leur mot de passe

Seuls les administrateurs de comptes G Suite Entreprise sont concernés par ce problème. Ces derniers ont notamment reçu une notification par e-mail leur demandant de procéder à un changement de mot de passe.

Pour plus de précautions, Suzanne Frey a souligné que les mots de passe des clients qui ne souhaitent pas procéder à cette mesure seront automatiquement réinitialisés.

Mots-clés google