Re-ooops… Google stockait des mots de passe en clair depuis 14 ans

Google a découvert que ses systèmes internes stockaient en clair une copie des mots de passe de certains utilisateurs. La firme ne mentionne pas le nombre de comptes touchés, mais précise qu’il s’agit d’utilisateurs de la version pour entreprises de sa G Suite. Cette découverte résonne avec celle de Facebook, qui a laissé des centaines de millions de mots de passe sans chiffrement stockés dans ses systèmes.

Des mots de passes se sont par erreur retrouvés en clair dans les systèmes de Google à cause d'anciennes fonctions permettant aux administrateurs G Suite de créer et récupérer des mots de passe. Google admet avoir commis une erreur lors de l'implémentation de cette fonctionnalité en 2005 et la console d'administration a stocké une copie non masquée des mots de passe. Bien que laissés en clair sur les serveurs, ces données sont restées dans l’infrastructure sécurisée et chiffrée de la firme. «Nous avons mené une enquête approfondie et nous n'avons vu aucune preuve d'un accès inapproprié ou d'une mauvaise utilisation des identifiants G Suite concernés», tient à rassurer Suzanne Frey, VP, Engineering, Cloud Trust chez Google.

Google révèle la découverte d’un autre problème similaire, plus récent. En janvier dernier, un nouveau sous-ensemble de mots de passe non masqués ont été stockés pendant 14 jours au maximum dans son infrastructure. Laquelle est sécurisée par des méthodes de chiffrement, souligne encore la firme.