Dans un article publié le 21 Mai dernier, Google a révélé qu’à la suite de la découverte d’un bug plusieurs millions d’utilisateurs de G SUITE on vu leurs mots de passe stockés en clair dans leurs base de données. Existant depuis 2005 (!), Google indique cependant qu’il n’y a aucune preuve que ces mots de passe aient étés compromis. En l’occurrence, Google demande aux administrateurs de comptes G SUITE de réinitialiser leurs mots de passe dans les plus brefs délais pour pallier à toute fuite éventuelle.
Un bug affectant les usagers et plus précisément les administrateurs de comptes G Suite.
G Suite est en quelque sorte la version professionnelle de Gmail dédiée principalement aux entreprises et comprend également tout une suite d’outils. Visiblement, le bug est apparu du fait d’une fonction spécifique mal codée et conçue spécifiquement pour les entreprises. Au début, il était possible pour l’administrateur de votre compte G Suite de définir manuellement les mots de passe des utilisateurs – par exemple, lors de l’arrivée d’un nouvel employé – et lorsqu’ils le faisaient, la console d’administration stockait ces mots de passe en texte clair à la place de les crypter, ce qui est une chose standard dans le milieu. Google a depuis supprimé cette capacité des administrateurs réglant ainsi ce problème plus que gênant pour le Géant Américain.
Stockés en clair pendant des années, Google affirme qu’il n’existe aucune preuve d’une quelconque fuite.
Google à beaucoup de mal pour faire passer le message et expliquer de quelle manière fonctionne le hachage cryptographique des mots de passe. Malgré que les mots de passe aient été stockés en texte brut, ils étaient au minimum stockés au sein même des serveurs de Google, et de ce fait, il est évident qu’il ait été plus difficile aux potentiels hackers d’avoir accès aux données que si elle étaient stockées sur un réseau intranet ou sur internet même. Malgré que Google ne l’ait pas dit explicitement, il semble qu’il veuille aussi être certain que les personnes ne placent pas ce bogue dans la même catégorie que les autres problèmes liés aux fuites récentes.
Et a ce sujet il y a eu tellement de fuites récemment que par exemple, Twitter à recommandé à plus de 330 millions des ses utilisateurs de changer leurs mot de passe suite à une fuite de données en Mars dernier. Facebook à également stocké des centaines de millions de mots de passe en clair et d’une telle manière qu’il se sont vus accessibles à plus de 20.000 employés de la Firme. Instagram quant à lui, à finit par reconnaitre que des millions d’usagers virent également leurs données fuitées au grand jour, (contrairement à ce qu’il fût dit dans un premier communiqué).
Pour sa part, Google n’a pas annoncé le nombre d’utilisateurs susceptibles d’avoir été affectés par ce bug, si ce n’est qu’il a affecté « un sous-ensemble de nos clients G Suite d’entreprise » – probablement tous ceux qui utilisaient G Suite depuis 2005. Bien que Google n’ait pas pu trouver la preuve que quelqu’un ait utilisé cet accès à des fins malveillantes, il n’est pas non plus démontré l’inverse.
Quoi qu’il en soit c’est d’ores et déjà de l’histoire ancienne et Google s’excuse auprès de ses utilisateurs en publiant ce message :
Nous prenons la sécurité de nos entreprises clientes extrêmement au sérieux et nous sommes fiers de faire progresser les meilleures pratiques de l’industrie en matière de sécurité des comptes. Ici, nous n’avons pas été à la hauteur de nos propres exigences, ni de celles de nos clients. Nous nous excusons auprès de nos utilisateurs et nous ferons mieux.