Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Pendant 14 ans, Google a stocké en clair des mots de passe de comptes G SuiteCrédits : SanneBerg/iStock

La société de Mountain View explique qu'elle proposait un outil permettant « aux administrateurs d'uploader ou définir manuellement des mots de passe pour les utilisateurs de leur entreprise ». Cette fonction n'existe plus, mais elle est la cause du problème du jour.

Google avait en effet commis une erreur lors de son implémentation en 2005 : « la console d’administration stockait une copie du mot de passe non haché ». Depuis 14 ans, ils étaient donc enregistrés dans une partie non chiffrée de l'infrastructure de Google.

Le géant du Net précise que les comptes G Suite payants sont les seuls concernés : « aucun compte client gratuit Google n'a été affecté ». Il ne donne par contre pas d'indication sur l'étendue des dégâts.

Ce n'est pas tout : « nous avons découvert qu’à partir de janvier 2019, nous avions stocké par inadvertance un sous-ensemble de mots de passe non hachés ». Ils ont pu y rester pendant 14 jours maximum, mais aucun détail supplémentaire n'est donné.

Dans les deux cas, aucune trace d'une utilisation malveillante n'a été trouvée. Les administrateurs des sociétés concernées sont prévenus afin de réinitialiser leurs mots de passe. Par précaution, Google les réinitialisera lui-même pour ceux qui ne l'auraient pas fait.

Pour rappel, Facebook a enregistré en clair des mots de passe de centaines de millions d'utilisateurs. D'autres sociétés sont également concernées par ce genre de « bugs » : GitHub, Twitter, etc.

19 commentaires
Avatar de Sabinoo INpactien
Avatar de SabinooSabinoo- 22/05/19 à 08:31:10

Juste au cas où, info parfois utile, peu de gens le savent parce que c'est tellement choquant qu'on ne l'imaginerait pas : si vous commettez l'erreur d'utiliser filezilla (winscp ftw!), le programme stocke vos login:password en clair à un emplacement fixe. Securitayyyyyyyyyyyyy.

Avatar de dylem29 INpactien
Avatar de dylem29dylem29- 22/05/19 à 08:34:26

Oh bah ça va, c'est que les comptes entreprises qui sont touchés ! :D

Avatar de Baldurien Abonné
Avatar de BaldurienBaldurien- 22/05/19 à 08:35:33

Sabinoo a écrit :

Juste au cas où, info parfois utile, peu de gens le savent parce que c'est tellement choquant qu'on ne l'imaginerait pas : si vous commettez l'erreur d'utiliser filezilla (winscp ftw!), le programme stocke vos login:password en clair à un emplacement fixe. Securitayyyyyyyyyyyyy.

Ce n'est plus vrai: FileZilla encode le mot de passe en base64. Il n'est donc plus en clair :P

Avatar de monpci INpactien
Avatar de monpcimonpci- 22/05/19 à 08:52:24

ça plaisante pas avec la sécurité chez google ....

malheureusement on serait surpris du nombre de société ou les mot de passe sont en clair

Avatar de bebertjack INpactien
Avatar de bebertjackbebertjack- 22/05/19 à 09:10:22

Le géant du Net précise que les comptes G Suite payants sont les seuls concernés : « aucun compte client gratuit Google n'a été affecté ».
C'est faux j'ai un GSUITE gratuit (anciennement Google Apps ) et j'ai reçu le mail

Avatar de M'enfin ! INpactien
Avatar de M'enfin !M'enfin !- 22/05/19 à 09:22:44

Franchement Google... :roll:

Avatar de Vekin Abonné
Avatar de VekinVekin- 22/05/19 à 09:29:26

On peut chiffrer les identifiants à l'aide d'un mot de passe maître maintenant il me semble.

Avatar de Krogoth Abonné
Avatar de KrogothKrogoth- 22/05/19 à 09:46:02

Le site de ma boite s'est déjà fait deffacé à cause de ca. Le commercial m'avait demandé de sécurisé le site alors que je ne cessait de lui dire qu'il arrete d'utiliser filezilla et de conserver le mot de passe...

Avatar de Elwyns INpactien
Avatar de ElwynsElwyns- 22/05/19 à 10:01:57

Krogoth a écrit :

Le site de ma boite s'est déjà fait deffacé à cause de ca. Le commercial m'avait demandé de sécurisé le site alors que je ne cessait de lui dire qu'il arrete d'utiliser filezilla et de conserver le mot de passe...

oui les vieux filezilla ont le mdp dans le fichier de config en clair

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 22/05/19 à 10:59:55

A force de demander de la transparence, voilà ce qui arrive :fumer:

Il n'est plus possible de commenter cette actualité.
Page 1 / 2