Skip to main content

Google affirme avoir stocké des mots de passe G Suite sous une forme non modifiée pendant 14 ans, entre 2005 et 2019.

Google a révélé aujourd’hui qu’un bug dans un ancien outil de G Suite avait pour conséquence que la société stockait les mots de passe des clients non hachés pendant près de 14 ans, entre 2005 et 2019.

La société a déclaré que seuls les clients d’entreprise G Suite étaient concernés, mais pas les comptes Gmail classiques.

La plupart des clients de G Suite sont des entreprises ayant souscrit aux versions d’entreprise de Gmail, Google Documents, Google Sites, Google Drive et divers autres services de Google.

Bug dans l’ancien outil G Suite

Google a déclaré que le bug derrière cette faille de sécurité était un ancien outil développé dans les années 2000.

« L’outil (situé dans la console d’administration) permettait aux administrateurs de charger ou de définir manuellement les mots de passe des utilisateurs de leur entreprise », a déclaré la société aujourd’hui. « L’intention était d’aider [les administrateurs de G Suite] à intégrer de nouveaux utilisateurs; par exemple, un nouvel employé pourrait recevoir les informations de son compte le premier jour de travail et pour le récupérer. »

Google a déclaré avoir commis une erreur en mettant en œuvre la fonctionnalité de définition de mot de passe de cet outil en 2005.

Les mots de passe définis via cet outil étaient stockés sur disque sans passer par l’algorithme de hachage de mot de passe standard de Google. Les mots de passe ont finalement été cryptés lorsqu’ils ont été stockés sur disque, a ajouté Google, ce qui signifie que les employés ou les intrus de Google ne pouvaient ni voir ni lire les mots de passe en clair.

La société a déclaré avoir découvert le bug cette année, déconseillé d’utiliser l’outil et corrigé le problème.

« Pour être clair, ces mots de passe sont restés dans notre infrastructure cryptée sécurisée. Ce problème a été résolu et nous n’avons vu aucune preuve d’accès incorrect ou d’utilisation abusive des mots de passe concernés », a déclaré Google.

Deuxième cas de stockage de mots de passe sous forme non hachée

Mais Google a également révélé un deuxième incident au cours duquel la plateforme G Suite avait stocké des mots de passe sans les transmettre par son algorithme habituel de hachage de mots de passe. Ce second incident a été révélé alors que le personnel « résolvait les nouveaux flux d’inscription des clients G Suite ».

Google a déclaré qu’à partir de janvier 2019, G Suite avait stocké les mots de passe définis lors de la procédure d’inscription sous une forme simplifiée. Comme lors du premier incident, les mots de passe ont finalement été cryptés lors de leur enregistrement sur le disque.

Ce deuxième lot de mots de passe non hachés n’a été stocké sur disque que pendant 14 jours, ce qui minimise l’impact du bug. Google a également indiqué qu’il ne voyait aucun signe d’abus ou d’accès incorrect pour les mots de passe associés à ce deuxième bug.

Les administrateurs de G Suite ont été prévenus

La société a annoncé aujourd’hui avoir déjà averti les administrateurs de G Suite et leur avait demandé de réinitialiser les mots de passe des utilisateurs définis à l’aide de l’ancien outil G Suite.

« Par précaution, nous allons réinitialiser les comptes qui ne l’ont pas fait eux-mêmes
« , a ajouté Google.
Dans des circonstances normales, ce bug ne devrait pas constituer un risque énorme pour la sécurité des clients concernés, car un attaquant aurait d’abord dû violer l’infrastructure de Google, localiser les mots de passe cryptés dans ses immenses centres de données, puis récupérer la clé de décryptage appropriée. les mots de passe avant d’utiliser l’un d’eux.

L’erreur de Google Suite G n’est certainement pas au même niveau que les récents déboires de Facebook. En mars, Facebook avait admis avoir stocké en clair les mots de passe de centaines de millions de comptes Facebook et de millions de comptes Instagram.