Sur mon blog à propos d'un bug récemment découvert qui entraînait le stockage non chiffré des mots de passe de certains utilisateurs de G Suite dans des fichiers en texte brut. Ce bug existe depuis 2005. Cependant, Google affirme ne trouver aucune preuve que l’un de ces mots de passe soit tombé entre les mains d’attaquants ou ait été utilisé à mauvais escient. Cependant, l'entreprise réinitialisera tous les mots de passe susceptibles d'être concernés et informera les administrateurs G Suite du problème.
G Suite est la version entreprise de Gmail et d'autres applications Google, et le bug s'est apparemment produit dans ce produit en raison d'une fonctionnalité conçue spécifiquement pour les entreprises. Au début du service, un administrateur d'entreprise pouvait utiliser les applications G Suite pour définir manuellement les mots de passe des utilisateurs : par exemple, avant qu'un nouvel employé ne rejoigne le système. S'il utilisait cette option, la console d'administration enregistrerait ces mots de passe sous forme de texte brut au lieu de les hacher. Google a ensuite retiré cette capacité aux administrateurs, mais les mots de passe sont restés dans les fichiers texte.
Dans son article, Google prend soin d'expliquer le fonctionnement du hachage cryptographique afin que les nuances associées à l'erreur soient claires. Même si les mots de passe étaient stockés en texte clair, ils se trouvaient sur les serveurs de Google, de sorte que des tiers ne pouvaient y accéder qu'en piratant les serveurs (sauf s'ils étaient des employés de Google).
Google n'a pas précisé combien d'utilisateurs étaient potentiellement concernés, se contentant de dire qu'il s'agissait d'un "sous-ensemble de clients d'entreprise G Suite", probablement toute personne ayant utilisé G Suite en 2005. Bien que Google n'ait trouvé aucune preuve que quelqu'un ait utilisé cet accès de manière malveillante, il n'est pas tout à fait clair qui pourrait avoir accès à ces fichiers texte.
Quoi qu’il en soit, le problème est désormais résolu et Google a exprimé ses regrets dans son message à ce sujet : « Nous prenons la sécurité de nos entreprises clientes très au sérieux et sommes fiers de promouvoir des pratiques de sécurité des comptes de pointe. Dans ce cas-ci, nous n’avons pas respecté nos normes ni celles de nos clients. Nous nous excusons auprès des utilisateurs et promettons de faire mieux à l'avenir. »
Source: 3dnews.ru