Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Pendant 14 ans, Google a stocké en clair des mots de passe de comptes G Suite

Pendant 14 ans, Google a stocké en clair des mots de passe de comptes G Suite

Le 22 mai 2019 à 09h35

La société de Mountain View explique qu'elle proposait un outil permettant « aux administrateurs d'uploader ou définir manuellement des mots de passe pour les utilisateurs de leur entreprise ». Cette fonction n'existe plus, mais elle est la cause du problème du jour.

Google avait en effet commis une erreur lors de son implémentation en 2005 : « la console d’administration stockait une copie du mot de passe non haché ». Depuis 14 ans, ils étaient donc enregistrés dans une partie non chiffrée de l'infrastructure de Google.

Le géant du Net précise que les comptes G Suite payants sont les seuls concernés : « aucun compte client gratuit Google n'a été affecté ». Il ne donne par contre pas d'indication sur l'étendue des dégâts.

Ce n'est pas tout : « nous avons découvert qu’à partir de janvier 2019, nous avions stocké par inadvertance un sous-ensemble de mots de passe non hachés ». Ils ont pu y rester pendant 14 jours maximum, mais aucun détail supplémentaire n'est donné.

Dans les deux cas, aucune trace d'une utilisation malveillante n'a été trouvée. Les administrateurs des sociétés concernées sont prévenus afin de réinitialiser leurs mots de passe. Par précaution, Google les réinitialisera lui-même pour ceux qui ne l'auraient pas fait.

Pour rappel, Facebook a enregistré en clair des mots de passe de centaines de millions d'utilisateurs. D'autres sociétés sont également concernées par ce genre de « bugs » : GitHub, Twitter, etc.

Le 22 mai 2019 à 09h35

Commentaires (19)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Juste au cas où, info parfois utile, peu de gens le savent parce que c’est tellement choquant qu’on ne l’imaginerait pas : si vous commettez l’erreur d’utiliser filezilla (winscp ftw!), le programme stocke vos login:password en clair à un emplacement fixe. Securitayyyyyyyyyyyyy.

votre avatar

Oh bah ça va, c’est que les comptes entreprises qui sont touchés ! <img data-src=" />

votre avatar







Sabinoo a écrit :



Juste au cas où, info parfois utile, peu de gens le savent parce que c’est tellement choquant qu’on ne l’imaginerait pas : si vous commettez l’erreur d’utiliser filezilla (winscp ftw!), le programme stocke vos login:password en clair à un emplacement fixe. Securitayyyyyyyyyyyyy.





Ce n’est plus vrai: FileZilla encode le mot de passe en base64. Il n’est donc plus en clair :P


votre avatar

ça plaisante pas avec la sécurité chez google ….



malheureusement on serait surpris du nombre de société ou les mot de passe sont en clair

votre avatar

Le géant du Net précise que les comptes G Suite payants sont les seuls concernés : « aucun compte client gratuit Google n’a été affecté ».

C’est faux j’ai un GSUITE gratuit (anciennement Google Apps ) et j’ai reçu le mail

votre avatar

Franchement Google…&nbsp;<img data-src=" />

votre avatar

On peut chiffrer les identifiants à l’aide d’un mot de passe maître maintenant il me semble.

votre avatar

Le site de ma boite s’est déjà fait deffacé à cause de ca. Le commercial m’avait demandé de sécurisé le site alors que je ne cessait de lui dire qu’il arrete d’utiliser filezilla et de conserver le mot de passe…

votre avatar







Krogoth a écrit :



Le site de ma boite s’est déjà fait deffacé à cause de ca. Le commercial m’avait demandé de sécurisé le site alors que je ne cessait de lui dire qu’il arrete d’utiliser filezilla et de conserver le mot de passe…





oui les vieux filezilla ont le mdp dans le fichier de config en clair


votre avatar

A force de demander de la transparence, voilà ce qui arrive <img data-src=" />

votre avatar

<img data-src=" />

ATTENTION : ils n’étaient pas en clair ! Ils étaient non hachés, mais stockés chiffrés. C’est moins pire mais ça reste un gros problème : celui qui a la clé de chiffrement a accès à tous les mots de passe.

<img data-src=" />

votre avatar

C’est exact. Mais ça me semble évident à vrai dire. Le mot de passe en clair est nécessaire pour se connecter à un serveur FTP. Donc Il faut, d’une manière ou d’une autre, stocker le mot de passe en clair. Ne stocker qu’un hash ne le rendrait pas réutilisable (erreur dans le protocole ftp), et le stocker chiffré nécessiterait une clé, ou un autre mot de passe.



D’une manière générale, il est impossible de protéger une information sans “mot de passe” à saisir à un moment.

votre avatar







Sabinoo a écrit :



Juste au cas où, info parfois utile, peu de gens le savent parce que c’est tellement choquant qu’on ne l’imaginerait pas : si vous commettez l’erreur d’utiliser filezilla (winscp ftw!), le programme stocke vos login:password en clair à un emplacement fixe. Securitayyyyyyyyyyyyy.





L’auteur du programme signalait à l’époque que le mot de passe transitait de toute façon en clair sur le réseau pendant la connexion FTP (ce qui est vrai) et que vouloir le protéger était donc inutile et même dangereux car il donnait un sentiment erroné de sécurité (ce qui n’est pas faux).



Il est aujourd’hui proposé d’utiliser un mot de passe maître pour protéger les mots de passe des sites.


votre avatar

Je ne peux pas faire de réponse multiple, hein ? Donc, pour Filezilla, quand j’ai laissé tomber le programme, il stockait effectivement 100% en clair, “plain text”. Tu ouvrais le .xml (je crois que c’est cette extension, désolé si je me souviens de travers), et c’était écrit direct dedans. 




L'auteur du programme et son équipe défendaient le principe, comme quoi s'il y a accès à la machine de toutes façons c'est trop tard.      


Personnellement j'ai toujours trouvé ça abysmalement crétin, mais à chacun son point de vue. Le mien, c'est que si le login-password est (1) en clair et (2) dans un emplacement fixe que n'importe-qui de malfaisant va scanner par routine, c'est une faute impardonnable.&nbsp;      


J'ai connu ça en salle info, un petit malin avec un .bat ou équivalent depuis de sa clé USB qu'il insérait sur un ordi dont l'utilisateur s'est absenté pour faire pipi, en deux minutes il récupérait une dizaine de logins-passwords filezilla sur autant de postes.      


Je veux bien qu'il y ait l'argument "si un malfaisant obtient un accès    physique, tu es fichu", mais il est en bonne partie invalide. Si on    décourage 95% des intrusions parce que ce que l'on récupère n'est pas    exploitable sans y mettre le temps et les moyens, ça en vaut absolument    la peine.      


&nbsp;      


Un mot de passe maître... obligatoire, ou optionnel ? S'il est optionnel et que c'est stocké quand même en clair par défaut, ça reste une honte.      







A présent, si le mdp est haché par défaut, c'est enfin le progrès que j'espérais à l'époque, ça fait plaisir de le lire :)&nbsp;
votre avatar

Ça m’avait choqué aussi à l’époque.

Et puis, “quitte à faire du riz autant en faire du bon avec un rice cooker”.

votre avatar

J’aime bien les modèles économiques où il faut payer pour de l’insécurité.

votre avatar

Google, est toujours à la pointe de l’innovation&nbsp;<img data-src=" />

votre avatar

Le géant du Net précise que les comptes G Suite payants sont les seuls concernés : « aucun compte client gratuit Google n’a été affecté »



C’est faux ! J’ai un compte utilisateur sur un (très) vieux G Suite gratuit qui a été affecté !

votre avatar

Pour FileZilla, il faut faire attention aussi pour d’autres raisons :https://www.virustotal.com/#/file/25b75092b082d98cb455314c3283c659cd9500d1/detec…


Pendant 14 ans, Google a stocké en clair des mots de passe de comptes G Suite

Fermer