Dans un billet de blog, Google explique avoir stocké en clair des mots de passe d'utilisateurs de G Suite. Une bourde au long cours qui a seulement affecté des utilisateurs avec des comptes G Suite payants, et aucunement des comptes Google gratuits.

Un bug est à l'origine de ce manquement de sécurité qui avait déjà fait froncer les sourcils du côté de Facebook et Instagram. La faute est imputée à une erreur dans l'implémentation d'une fonctionnalité en 2005… il y a donc 14 ans.

Le problème était en rapport avec un outil permettant à des administrateurs (dans la console d'administration) " d'uploader ou définir manuellement des mots de passe pour les utilisateurs de leur entreprise. "

facepalm-erreur

Sur les serveurs internes et sécurisés de Google, les mots de passe en clair n'ont a priori pas fait l'objet d'un accès inapproprié ou d'une action malveillante.

Ce n'est toutefois pas la seule bourde puisqu'il a aussi été découvert qu'à partir de janvier 2019, " nous avions stocké par inadvertance un sous-ensemble de mots de passe non hachés dans notre infrastructure chiffrée et sécurisée " pour une durée maximale de 14 jours.

Google ne précise pas l'ampleur des comptes touchés, si ce n'est que tout a été corrigé et les administrateurs G Suite concernés ont été prévenus. Le cas échéant, les mots de passe seront réinitialisés si ces administrateurs ne le font pas.

Des excuses sont évidemment présentées.