Dans un article de blog publié cette semaine, Google a révélé avoir découvert un bug qui permettait à une partie des utilisateurs de G Suite de stocker leurs mots de passe en clair (texte brut). Le bug existe depuis 2005, bien que Google indique n’avoir trouvé aucune preuve que le mot de passe de quelqu’un a été mal utilisé. Elle réinitialise les mots de passe susceptibles d’être affectés et informe les administrateurs de G Suite du problème.
Pour ceux qui l’ignorent, G Suite est la version d’entreprise de Gmail et des autres applications de Google. Apparemment, le problème est que ce produit est à l’origine né d’une fonctionnalité spécialement conçue pour les entreprises. Au début, il était possible pour votre administrateur d’entreprise pour les applications G Suite de définir manuellement les mots de passe des utilisateurs (par exemple, avant l’arrivée d’un nouvel employé). S’ils le faisaient, la console d’administration stockait ces mots de passe en clair au lieu de les hacher. Google a depuis retiré cette possibilité aux administrateurs.
La publication de Google s’efforce d’expliquer le fonctionnement du hachage (chiffrement), probablement dans le but de s’assurer que les nuances entourant ce bug sont claires. Bien que les mots de passe soient stockés en texte brut, ils le sont au moins à l’intérieur des serveurs de Google. Autrement dit, il ne se retrouve pas sur la toile. Bien que Google ne l’ait pas explicitement mentionné, il semble vouloir également s’assurer que les utilisateurs ne placent pas ce bug dans la même catégorie que d’autres problèmes de mots de passe stockés en clair.
Des mots de passe partout dans la nature
Et, il y en a tellement eu, comme le note Wired. Twitter a conseillé à 330 millions d’utilisateurs de modifier leurs mots de passe en mars en raison d’une violation. Facebook a stocké « des centaines de millions » de mots de passe en texte brut de manière à ce que plus de 20 000 de ses employés puissent y accéder. Instagram devait admettre que la brèche de Facebook avait en fait affecté des millions d’utilisateurs d’Instagram (et non le plus petit nombre divulgué précédemment).
Pour sa part, Google n’a pas précisé le nombre d’utilisateurs susceptibles d’être affectés par ce bug, il a uniquement touché « un sous-ensemble de nos clients d’entreprise G Suite » – probablement tous ceux qui utilisaient G Suite en 2005. Dans tous les cas, le problème est maintenant résolu et Google regrette à juste titre dans son article le problème dans son ensemble.