Small nick 01

Jérôme BENBIHI

Des mots de passe en clair stockés par Google

 images/Sabine_D/desmotsdepasseenclair_580.jpgJérôme BENBIHI CEO ADENIS
 
 

Après Facebook en mars, c’est au tour d’un autre géant du web d’avouer avoir stocké des mots de passe en clair. Une erreur qui date de 2005.

Google, victime d’une mauvaise fonctionnalité

L’enquête interne menée par Google a démontré que cette erreur était due au développement en 2005 d’une fonctionnalité permettant aux administrateurs de comptes « GSuite Entreprise » de générer les mots de passe de leurs nouveaux employés depuis leur console de gestion. Si depuis cette fonctionnalité n’existe plus, les mots de passe ainsi créés n’ont jamais été chiffrés ou hachés.

Des mots de passe non hachés

Pour garantir la sécurité des mots de passe de ses clients, Google utilise le « hachage cryptographique ». Grâce à ce procédé, les mots de passe saisis par les utilisateurs sont convertis en une combinaison de caractères, appelée « signature ». C’est cette combinaison qui est stockée sur le serveur et sert à déchiffrer et reconnaître le mot de passe. Le mot de passe créé est donc protégé puisqu’il n’apparait nulle part en clair.

Or, dans le cas du dysfonctionnement Google, les mots de passe de 2005 qui n’étaient pas passés par le « hachage cryptographique » ont donc été stockés en clair sur le serveur. Bien évidemment, le serveur interne de Google est chiffré et, par conséquent, aucun piratage ou utilisation frauduleuse n’a pu être possible. C’est d’ailleurs ce qu’a confirmé l’enquête interne. Pour autant, les mots de passe stockés en clair étaient potentiellement lisibles.

Qui est impacté ?

Les comptes Google grand public ne sont pas concernés par ce dysfonctionnement. Seuls les administrateurs de comptes « GSuite Entreprise » ont été alerté par e-mail et priés de changer leur mot de passe. Les personnes concernées qui n’effectueraient pas ce changement bénéficieront d’une réinitialisation automatique par principe de précaution.

Cet exemple de dysfonctionnement, comme celui de Facebook en mars, illustre une fois de plus la nécessité de sécuriser son réseau informatique dès le départ, quel que soit le projet. Ne pas se soucier de la sécurité, c’est prendre un risque et laisser une éventuelle erreur du passé réapparaître et réduire à néant les efforts du présent.

 

Article publié sur LinkedIn

 

Laissez un commentaire