•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Google a stocké des mots de passe non chiffrés pendant 14 ans

Le logo de Google devant ses bureaux de Pékin.

Les erreurs ont été corrigées par Google.

Photo : Reuters / Thomas Peter

Radio-Canada

Des mots de passe ont été conservés par Google sous forme de texte de 2005 à janvier 2019, d'après ce qu'a annoncé l'entreprise mercredi. Ce problème a touché seulement certains clients utilisant le service G Suite.

Normalement, les entreprises stockent les mots de passe de leurs utilisateurs sous forme chiffrée, ce qui empêche d’éventuels pirates de pouvoir les lire s’ils accèdent à la banque de données.

Le chiffrement des mots de passe empêche aussi les entreprises qui les conservent, comme Google, de pouvoir y accéder.

Pas d'accès indu détecté

Google explique sur son site web (Nouvelle fenêtre) qu’elle offrait aux administrateurs de comptes G Suite (un ensemble d’outils destinés aux entreprises) la possibilité de créer eux-mêmes les mots de passe de nouveaux comptes d’utilisateurs et de les récupérer s’ils les oubliaient. Cela permettait aux nouveaux employés d’une entreprise d’avoir rapidement accès à leur compte Google.

Or, en créant cette fonctionnalité, Google a commis une erreur : lorsqu'un utilisateur tentait de récupérer son mot de passe, ce dernier apparaissait dans la console de l’administrateur sous forme non chiffrée.

Le géant américain affirme que les mots de passe sous forme de texte étaient conservés dans un système qui, lui, était chiffré, et qu’aucun accès indu aux mots de passe n’a été détecté.

Une autre erreur touchant une fois de plus les clients de G Suite a également été relevée en janvier 2019. Ce bogue faisait lui aussi en sorte que des mots de passe en texte simple étaient conservés dans un système chiffré, cette fois jamais plus que pendant 14 jours. Google n’a pas non plus trouvé de trace d’intrusion liée à cette faille.

Problèmes corrigés

Les deux erreurs ont été corrigées par Google, qui assure poursuivre son enquête pour confirmer hors de tout doute qu’il s’agit d’incidents isolés.

Les administrateurs de comptes G Suite touchés ont été contactés par Google au cours des dernières semaines. Les comptes concernés ont été restaurés par mesure de précaution.

Cybersécurité

Techno