Google stockait des mots de passe en clair depuis 2005

Google, victime d’une fonctionnalité abandonnée

L’enquête interne a révélé que l’erreur venait du développement il y a près de 15 ans d’une fonctionnalité permettant aux administrateurs de comptes GSuite Entreprise de générer les mots de passe de leurs nouveaux employés depuis leur console de gestion. Si cette méthode a été abandonnée depuis, les mots de passe ainsi créés ne sont jamais passé à la moulinette de l’algorithme de hachage Google.

Pas de hachage pour ces mots de passe

Pour garantir la sécurité des mots de passe de ses clients, Google utilise un procédé appelé « hachage cryptographique ». Grâce à lui, la saisie de l’utilisateur est convertie en une suite de caractères, la signature. C’est elle qui est stockée sur les serveurs et sert de référence pour reconnaître le mot de passe. Celui-ci est donc protégé car il ne figure nulle part noir sur blanc.

Or, dans le cas présent, les mots de passe qui n’étaient pas passés par l’algorithme de hachage ont été stockés tels quels par Google. Heureusement, cette infrastructure interne est chiffrée et aucune intrusion ou utilisation frauduleuse n’a été détectée lors de l’enquête menée par la firme. Ces mots de passe n’en demeureraient pas moins potentiellement lisibles.

Quels sont les comptes impactés ?

Les comptes Google grand public ne sont pas concernés. Seuls les administrateurs de comptes GSuite Entreprise ont reçu une notification par e-mail leur demandant de changer de mot de passe. Pour ceux qui ne procéderaient pas à cette mesure, Suzanne Frey a précisé qu’une réinitialisation automatique serait mise en œuvre par précaution.

Cet exemple illustre encore une fois la nécessité de penser la sécurité informatique dès le démarrage d’un projet. S’en affranchir revient à prendre le risque qu’une imprudence passée resurgisse et vienne ternir des efforts plus récents.

Via Engadget