Google et mots de passe : attaque ahurissante et inquiétante

Le par  |  11 commentaire(s)
Motti Tal

Fondateur d'Optier, un éditeur de logiciels leader sur le marché du Business Transaction Management, Motti Tal réagit à notre article sur l'attaque informatique du système des mots de passe de Google.

Motti TalCette semaine, nous avons publié dans nos colonnes un article relayant les informations du New York Times selon lesquelles la cyberattaque venue de Chine qui a frappé Google en décembre 2009, a pris pour cible son système de gestion des mots de passe. Ce dernier est utilisé pour contrôler l'accès à tous les services Google dans le monde.

Le butin des cybercriminels, à savoir du code source dudit système au nom de code Gaia, a transité en toute discrétion sur les serveurs de l'hébergeur Rackspace avant d'être envoyé on ne sait où.

Le fondateur d'Optier a souhaité réagir à notre article et nous fait part de son inquiétude qui porte surtout sur cette étape transitoire chez Rackspace :

" Qu'une attaque soit capable d'accéder à des informations hautement sensibles, qui sont le fondement de Google, est tout simplement ahurissant. Mais, d'après moi, ce qui est encore plus alarmant c'est qu'une fois les informations volées, les pirates ont pu les transférer de Google à Rackspace, sans que ce dernier ne soit au courant de la transaction. Cet enchaînement d'événements nous rappelle tristement que les entreprises n'ont pas toujours une entière visibilité, ou la compréhension, de leurs opérations. Alors qu'au jour le jour, cela ne devrait pas poser de problème, c'est oublier que les cybercriminels sont toujours à l'affût de la moindre faille.

Ce que nous ne voulons pas, c'est que ce manque de connaissance, apparemment anodin, devienne un chemin tout tracé pour les pirates qui souhaiteraient tirer profit de la faille à leur propre compte, en commercialisant ces informations sensibles. Une bonne approche de l'informatique a un rôle crucial à jouer ici pour combler cette faille. Bien trop d'applications sont gérées en silos et non de bout-en-bout au sein de la société, ce qui signifie que certaines opérations peuvent passer inaperçues. Une visibilité de bout-en-bout et la possibilité de suivre les transactions tout au long de leur traitement dans l'entreprise permettent de mettre en lumière une activité inhabituelle et d'alerter dans le cas où certaines applications seraient exploitées à des fins illégales. "

 

 

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #630431
Question bête :

Dans le doute sur les mot de passe volé, il vaut mieux changer le sien dès maintenant ?
Le #630441
nan, nan... le but du jeu c'est de garder un mot de passe le plus longtemps possible en priant pour jamais se faire niquer...

évidemment ta question est bête !
au moindre doute tu changes de mdp, et le nouveau tu le fais le plus robuste possible : au moins 10 caractères, avec des majuscules, des minuscules, des chiffres et des caractères spéciaux.
Le #630461
Attendez l'interviewé fait de la BTM non ?
Le #630501
Incroyable! Nous sommes en 2010 et nous débattons toujours des mêmes problèmes. Ce monsieur explique (pour la 10 millième fois) l'importance d'un système basé sur une structure en cascade, non cloisonné, avec une visibilité complète de toute la chaine.
Le nombre incalculable de branleurs qui travaille pour un service informatique au sein des grandes sociétés. Qui sont responsables de la sécurité des systèmes. Google n'échappe pas à la règles.
Monsieur le fondateur d'Optier je crois vous prêchez dans le désert.
Le #630521
@Général Vg, @GastonWazeef >l'article n'a pas dit que des mots de passe ont été volés.
Le #630551
@ , non c'est sûr, mais mieux vaut prévenir que guérir, et changer de mdp ne prend que 5min. c'est incomparable comme perte de temps par rapport à ce que peut engendrer une intrusion dans son compte perso, même si la possibilité est infime. ils ont qd même embarqué le code source, c'est pas rien !

dans tous les cas cette histoire nous sera peut-être bénéfique si ça les oblige à renforcer un peu la sécurité de leur plateforme.
Le #630601
GastonWazeef y'en a d'autres qui ont embarqué le code source de PGP et ça n'a rien changé au cours de l'histoire.

Si ils ont embarqué le code source, ce dernier est en cours d'audit. Si faille exploitable il y a, elle se passera de ton mot de passe.

Fraîchement changé ou pas : une corruption de requete POST/GET, un cookie forgé, un XSS bien placé auront raison de ton mot de passe.
Le #630611
"Fraîchement changé ou pas : une corruption de requete POST/GET, un cookie forgé, un XSS bien placé auront raison de ton mot de passe."

ok, merci pour l'info, mais tu dépasses un tt petit peu mes connaissances...

si je réagis comme ça c'est qu'avec un mdp moyen je me suis fait hacker mon compte fessebouc - que je testais par curiosité et que j'ai définitivement banni depuis

donc depuis je me méfie grave, et je conseille à tout le monde de se faire un mdp solide au moindre doute. même si dans ce cas précis ça n'était apparemment pas indispensable !
Le #630671
GastonWazeef : tu changerais ta clef de voiture si renault se faisait voler les blueprints du systeme d'ouverture de ta mégane?
Le #630861
edzilla : non mais je pense que Renault ferait en sorte que je n'ai pas à le faire.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]