Google a admis avoir stocké des mots de passe sans les avoir hachés, une méthode pour aller au-delà du chiffrement pour sécuriser des données.
IT World Canada rapporte qu’un nombre inconnu d’administrateurs de comptes payants G Suite pour les entreprises ont été avertis de la nécessité de réinitialiser les mots de passe de tous les utilisateurs des comptes.
Deux problèmes auraient été découverts en avril et mai par Google. L’un serait le résultat d’une erreur liée à une fonctionnalité mise en place en 2005. Dans l’autre cas, selon Suzanne Frey, vice-présidente à l’ingénierie chez Google, les mots de passe auraient été conservés non hachés pendant un maximum de 14 jours.
« Honnêtement, c’est inexcusable », a déclaré Darryl Burke à IT World Canada. Ce consultant en sécurité informatique administre les comptes payants G Suite de deux entreprises ontariennes. Il fait partie des personnes qui ont reçu le courriel d’information envoyé par Google en raison du deuxième problème.
« Le niveau de risque d’espionnage interne pour les entreprises qui utilisent G Suite et pour les employés de Google qui avaient accès aux mots de passe des utilisateurs est énorme. Rajoutez le réemploi des mots de passe par les utilisateurs sur des sites tiers […] et le risque augmente encore », dit-il.
Lire aussi :
Les mots de passe de millions d’utilisateurs Instagram stockés en format lisible
Cinq millions de numéros de passeport non chiffrés par Marriott
Faille de sécurité : 30 plutôt que 50 millions de comptes Facebook touchés
