Google admet avoir exposé des mots de passe en clair sur ses serveurs depuis 2005
Google explique dans un billet de blog que des mots de passe ont été stockés en clair sur ses serveurs depuis 2005. Le nombre exact de comptes affectés n'a pas été précisé, mais cela concerne une partie des utilisateurs de G Suit qui pour rappel compte plus de 5 millions d'abonnés.
Il y a quelques semaines, Facebook reconnaissait avoir exposé les mots de passe de 200 millions d'utilisateurs qui étaient visibles en clair sur ses serveurs internes. L'aveu n'est venu qu'après la révélation de l'affaire par des chercheurs en sécurité. Dans une note de blog publiée le 21 mai, Google avoue lui aussi que les mots de passe des utilisateurs de G Suit étaient stockés en clair sur ses serveurs depuis 2005, ce qui laisse supposer que cette pratique n'est pas rare.
Google : des mots de passe de millions d'utilisateurs ont été exposés sur ses serveurs
Généralement les mots de passe des utilisateurs sont automatiquement cryptés par un processus de hachage avant d'être stockés dans les bases de données des services en ligne. De sorte que même si quelqu'un venait à accéder à cette base de données, il lui serait impossible de déchiffrer les mots de passe en question. Pourtant, des mots de passe des utilisateurs de Google ont été exposés en clair pendant des années.
La firme explique que dès 2005, elle permettait aux administrateurs aux entreprises de définir manuellement les mots de passe pour les applications G Suit destinées à leurs employés. Ces mots de passe, plutôt que d'être hachés, étaient stockés en clair et pouvaient être récupérés facilement.
Lire aussi : Google lance Password Checkup, une extension qui vous dit si votre mot de passe a été piraté
Google précise que la fonctionnalité permettant de récupérer les mots de passe de cette manière n'existe plus. Toutefois, plusieurs de ces mots de passe sont restés inchangés. L'entreprise recommande donc à tous les utilisateurs de procéder à une modification. Enfin, Google affirme qu'il n'y a aucune évidence que des personnes mal intentionnées ont pu exploiter ces mots de passe stockés en clair. Il fallait réussir à accéder à ses bases de données sécurisées, ce qui en soi n'est déjà pas évident.