Google a laissé en clair les mots de passe GSuite

Internet Brève
messagerie téléphone et ordinateur

Google a alerté les utilisateurs d'un problème de sécurité de compte GSuite.

Normalement, la procédure de Google nécessite le passage par un hachage cryptographique pour la sauvegarde des mots de passage. Les signatures des mots de passe sont stockées et comparées lors de la connexion. Lors du développement d'une fonctionnalité en 2005, des ingénieurs de Google ont stocké les mots de passe des comptes administrateur GSuite sans le hachage. Cette liste était alimentée par les utilisateurs de la fonctionnalité concernée. Cette fonction permettait aux administrateurs de GSuite de changer et générer des mots de passe aux autres comptes de la suite. Depuis, cette fonctionnalité a changé et n'utilise plus la version mal sécurisée.

Lors de son enquête interne, Google n'a pas découvert de connexion externe à cette liste. Le moteur de recherche a averti la CNIL irlandaise, en charge des problèmes de sécurité pour Google en Europe, pour respecter la RGPD. Mais, Google va devoir affronter une importante amende pour ce défaut de sécurité.

Commentaires