Google a commencé à notifier certains administrateurs de G Suite d’un problème datant de 2005, un bug d’un outil qui stockait les mots de passe des utilisateurs, sur une infrastructure sécurisée et chiffrée certes, mais sans hashage.
Google a pour politique de stocker des mots de passe après les avoir passés à la moulinette de ses algorithmes de hashage. Mais, pour certaines entreprises utilisant G Suite, ce ne fut pas le cas. Le géant de Mountain View a notifié quelques administrateurs d’une faille de sécurité. En cause, un bug d’un outil implémenté en 2005.
Celui-ci, « (situé dans la console d’administration) permettait aux administrateurs de télécharger ou de définir manuellement les mots de passe des utilisateurs de leur entreprise. L'intention était de les aider à intégrer de nouveaux utilisateurs ». Mais les choses n’ont pas tourné comme prévu. « Nous avons commis une erreur lors de l’implémentation de cette fonctionnalité en 2005 : la console d’administration stockait une copie non-hashée du mot de passe ». Et ce pendant 14 ans.
Double pépin
Google tempère toutefois, expliquant que les mots de passe n’étaient pas lisibles pour autant, et qu’ils étaient en outre « restés dans notre infrastructure chiffrée et sécurisée ». Au terme de l’enquête menée par l’entreprise, aucun signe d’un accès non légitime ou d’une utilisation abusive de ces informations d’authentification n’a été découvert. L’outil n’est plus fonctionnel et Google indique avoir corrigé le problème.
Découvrant au passage un autre bug du même type... « Alors que nous résolvions les nouveaux flux d’inscription des clients G Suite, nous avons découvert qu’à partir de janvier 2019, nous avions stocké par inadvertance un sous-ensemble de mots de passe non hachés dans notre infrastructure » révèle Google. Ces mots de passe étaient stockés de cette manière pendant 14 jours au maximum. « Ce problème a été résolu et, encore une fois, nous n'avons vu aucune preuve d'accès incorrect ou d'utilisation abusive des mots de passe concernés. Nous poursuivrons nos audits de sécurité pour nous assurer qu'il s'agit d'un incident isolé ».