Pendant 14 ans, Google a stocké en clair des mots de passe de comptes G Suite

Le 22 Mai 2019 à 09h35

La société de Mountain View explique qu'elle proposait un outil permettant « aux administrateurs d'uploader ou définir manuellement des mots de passe pour les utilisateurs de leur entreprise ». Cette fonction n'existe plus, mais elle est la cause du problème du jour.

Google avait en effet commis une erreur lors de son implémentation en 2005 : « la console d’administration stockait une copie du mot de passe non haché ». Depuis 14 ans, ils étaient donc enregistrés dans une partie non chiffrée de l'infrastructure de Google.

Le géant du Net précise que les comptes G Suite payants sont les seuls concernés : « aucun compte client gratuit Google n'a été affecté ». Il ne donne par contre pas d'indication sur l'étendue des dégâts.

Ce n'est pas tout : « nous avons découvert qu’à partir de janvier 2019, nous avions stocké par inadvertance un sous-ensemble de mots de passe non hachés ». Ils ont pu y rester pendant 14 jours maximum, mais aucun détail supplémentaire n'est donné.

Dans les deux cas, aucune trace d'une utilisation malveillante n'a été trouvée. Les administrateurs des sociétés concernées sont prévenus afin de réinitialiser leurs mots de passe. Par précaution, Google les réinitialisera lui-même pour ceux qui ne l'auraient pas fait.

Pour rappel, Facebook a enregistré en clair des mots de passe de centaines de millions d'utilisateurs. D'autres sociétés sont également concernées par ce genre de « bugs » : GitHub, Twitter, etc.

L'auteur du programme et son équipe défendaient le principe, comme quoi s'il y a accès à la machine de toutes façons c'est trop tard. Personnellement j'ai toujours trouvé ça abysmalement crétin, mais à chacun son point de vue. Le mien, c'est que si le login-password est (1) en clair et (2) dans un emplacement fixe que n'importe-qui de malfaisant va scanner par routine, c'est une faute impardonnable.  J'ai connu ça en salle info, un petit malin avec un .bat ou équivalent depuis de sa clé USB qu'il insérait sur un ordi dont l'utilisateur s'est absenté pour faire pipi, en deux minutes il récupérait une dizaine de logins-passwords filezilla sur autant de postes. Je veux bien qu'il y ait l'argument "si un malfaisant obtient un accès physique, tu es fichu", mais il est en bonne partie invalide. Si on décourage 95% des intrusions parce que ce que l'on récupère n'est pas exploitable sans y mettre le temps et les moyens, ça en vaut absolument la peine.   Un mot de passe maître... obligatoire, ou optionnel ? S'il est optionnel et que c'est stocké quand même en clair par défaut, ça reste une honte.

Commentaires (19)

Sabinoo

Le 22/05/2019 à 08h31

Juste au cas où, info parfois utile, peu de gens le savent parce que c’est tellement choquant qu’on ne l’imaginerait pas : si vous commettez l’erreur d’utiliser filezilla (winscp ftw!), le programme stocke vos login:password en clair à un emplacement fixe. Securitayyyyyyyyyyyyy.

dylem29 Abonné

Le 22/05/2019 à 08h34

Oh bah ça va, c’est que les comptes entreprises qui sont touchés ! " />

Baldurien Abonné

Le 22/05/2019 à 08h35

Sabinoo a écrit :

Juste au cas où, info parfois utile, peu de gens le savent parce que c’est tellement choquant qu’on ne l’imaginerait pas : si vous commettez l’erreur d’utiliser filezilla (winscp ftw!), le programme stocke vos login:password en clair à un emplacement fixe. Securitayyyyyyyyyyyyy.

Ce n’est plus vrai: FileZilla encode le mot de passe en base64. Il n’est donc plus en clair :P

monpci

Le 22/05/2019 à 08h52

ça plaisante pas avec la sécurité chez google ….

malheureusement on serait surpris du nombre de société ou les mot de passe sont en clair

bebertjack

Le 22/05/2019 à 09h10

Le géant du Net précise que les comptes G Suite payants sont les seuls concernés : « aucun compte client gratuit Google n’a été affecté ».

C’est faux j’ai un GSUITE gratuit (anciennement Google Apps ) et j’ai reçu le mail

M'enfin !

Le 22/05/2019 à 09h22

Franchement Google… " />

Vekin

Le 22/05/2019 à 09h29

On peut chiffrer les identifiants à l’aide d’un mot de passe maître maintenant il me semble.

Krogoth

Le 22/05/2019 à 09h46

Le site de ma boite s’est déjà fait deffacé à cause de ca. Le commercial m’avait demandé de sécurisé le site alors que je ne cessait de lui dire qu’il arrete d’utiliser filezilla et de conserver le mot de passe…

Elwyns

Le 22/05/2019 à 10h01

Krogoth a écrit :

Le site de ma boite s’est déjà fait deffacé à cause de ca. Le commercial m’avait demandé de sécurisé le site alors que je ne cessait de lui dire qu’il arrete d’utiliser filezilla et de conserver le mot de passe…

oui les vieux filezilla ont le mdp dans le fichier de config en clair

Jarodd Abonné

Le 22/05/2019 à 10h59

#10

A force de demander de la transparence, voilà ce qui arrive " />

Jean_G Abonné

Le 22/05/2019 à 12h35

#11

" />

ATTENTION : ils n’étaient pas en clair ! Ils étaient non hachés, mais stockés chiffrés. C’est moins pire mais ça reste un gros problème : celui qui a la clé de chiffrement a accès à tous les mots de passe.

" />

Nozalys Abonné

Le 22/05/2019 à 13h09

#12

C’est exact. Mais ça me semble évident à vrai dire. Le mot de passe en clair est nécessaire pour se connecter à un serveur FTP. Donc Il faut, d’une manière ou d’une autre, stocker le mot de passe en clair. Ne stocker qu’un hash ne le rendrait pas réutilisable (erreur dans le protocole ftp), et le stocker chiffré nécessiterait une clé, ou un autre mot de passe.

D’une manière générale, il est impossible de protéger une information sans “mot de passe” à saisir à un moment.

Zone démilitarisée Abonné

Le 22/05/2019 à 13h21

#13

Sabinoo a écrit :

Juste au cas où, info parfois utile, peu de gens le savent parce que c’est tellement choquant qu’on ne l’imaginerait pas : si vous commettez l’erreur d’utiliser filezilla (winscp ftw!), le programme stocke vos login:password en clair à un emplacement fixe. Securitayyyyyyyyyyyyy.

L’auteur du programme signalait à l’époque que le mot de passe transitait de toute façon en clair sur le réseau pendant la connexion FTP (ce qui est vrai) et que vouloir le protéger était donc inutile et même dangereux car il donnait un sentiment erroné de sécurité (ce qui n’est pas faux).

Il est aujourd’hui proposé d’utiliser un mot de passe maître pour protéger les mots de passe des sites.

Le 22/05/2019 à 13h50

#14

Je ne peux pas faire de réponse multiple, hein ? Donc, pour Filezilla, quand j’ai laissé tomber le programme, il stockait effectivement 100% en clair, “plain text”. Tu ouvrais le .xml (je crois que c’est cette extension, désolé si je me souviens de travers), et c’était écrit direct dedans.

L'auteur du programme et son équipe défendaient le principe, comme quoi s'il y a accès à la machine de toutes façons c'est trop tard.      


Personnellement j'ai toujours trouvé ça abysmalement crétin, mais à chacun son point de vue. Le mien, c'est que si le login-password est (1) en clair et (2) dans un emplacement fixe que n'importe-qui de malfaisant va scanner par routine, c'est une faute impardonnable.&nbsp;      


J'ai connu ça en salle info, un petit malin avec un .bat ou équivalent depuis de sa clé USB qu'il insérait sur un ordi dont l'utilisateur s'est absenté pour faire pipi, en deux minutes il récupérait une dizaine de logins-passwords filezilla sur autant de postes.      


Je veux bien qu'il y ait l'argument "si un malfaisant obtient un accès    physique, tu es fichu", mais il est en bonne partie invalide. Si on    décourage 95% des intrusions parce que ce que l'on récupère n'est pas    exploitable sans y mettre le temps et les moyens, ça en vaut absolument    la peine.      


&nbsp;      


Un mot de passe maître... obligatoire, ou optionnel ? S'il est optionnel et que c'est stocké quand même en clair par défaut, ça reste une honte.

A présent, si le mdp est haché par défaut, c'est enfin le progrès que j'espérais à l'époque, ça fait plaisir de le lire :)&nbsp;

white-riot

Le 22/05/2019 à 14h04

#15

Ça m’avait choqué aussi à l’époque.

Et puis, “quitte à faire du riz autant en faire du bon avec un rice cooker”.

sephirostoy Abonné

Le 22/05/2019 à 14h25

#16

J’aime bien les modèles économiques où il faut payer pour de l’insécurité.

ndjpoye

Le 22/05/2019 à 18h03

#17

Google, est toujours à la pointe de l’innovation " />

Raphael

Le 22/05/2019 à 19h34

#18

Le géant du Net précise que les comptes G Suite payants sont les seuls concernés : « aucun compte client gratuit Google n’a été affecté »

C’est faux ! J’ai un compte utilisateur sur un (très) vieux G Suite gratuit qui a été affecté !

KzR Abonné

Le 24/05/2019 à 08h03

#19

Pour FileZilla, il faut faire attention aussi pour d’autres raisons :https://www.virustotal.com/#/file/25b75092b082d98cb455314c3283c659cd9500d1/detec…

Catégories

Nous suivre

À propos

Pendant 14 ans, Google a stocké en clair des mots de passe de comptes G Suite

Granite : IBM lance son pavé dans la mare des modèles de langage pour la génération de code

Stack Overflow signe avec OpenAI

La RATP expérimente sa vidéosurveillance algorithmique pour les concerts de Taylor Swift

FurMark débarque en version 2.3, avec la prise en charge des Raspberry Pi

Boeing Starliner n’a finalement toujours pas décollé…

Chang’e 6 fait route vers la Lune, avec l’instrument français DORN

Pass Monitor : Proton Pass comble (enfin) certaines lacunes

Dirty Stream : quand une application Android peut écraser les fichiers d’une autre

Raspberry Pi Compute Module 4S : jusqu’à 8 Go de mémoire, production jusqu’en 2034

Calendrier de publication d’Ubuntu 24.10 (Oracular Oriole)

Commentaires (19)