Situation : 
Google a, pendant 15 ans, stocké les mots de passe de certains de leur client G-Suite (Gmail pour des compagnies) sans les crypter correctement. Ceci permettrait à « des personnes » de potentiellement voir les mots de passe de client concerné.

Analyse : 
L’idée de base avec les mots de passe c’est qu’ils ne sont jamais enregistrés tels quels dans un système. On utilise un algorithme cryptographique qui s’appelle le Hash afin de les sécuriser.

Voici un exemple fictif d’un hash pour expliquer le concept : votre mot de passe est 12345. Pour calculer le hash, on fait la somme de tous les digits : 1+2+3+4+5 = 15. Dans ce cas, on va enregistrer dans le système le chiffre 15. Lorsque vous taper votre mot de passe pour vous authentifier, le système va refaire la même opération et si le résultat de l’opération donne 15 alors c’est que vous avez le bon mot de passe. Grâce à cela, le système peut valider que vous avez le bon mot de passe sans le connaitre. Si le système se fait corrompre, le hackeur ne connaitra pas les mots de passe des utilisateurs.

Avis personnel : 
Ça fait des décennies que l’utilisation de ce genre d’algorithme fait partie des meilleures pratiques et c’est très choquant de la part de Google que cela soit arrivé. Surtout que Google se veut être un leader dans ce champ. Google essaie d’argumenter que le système qui stockait les mots de passe était correctement crypté, mais ceci ne change rien au problème et il essaie juste de confondre les lecteurs. Le cryptage dont il parle est surement le cryptage du disque dur qui est complètement inefficace une fois le système allumé (ce qui était forcément le cas).

Aussi c’est déplorable de voir ceci à nouveau (nous avons eu un problème similaire avec Facebook il y a quelques semaines). Ça montre un manque de revu & contrôle de code, des gens moyennement qualifiés implémenter des couches critiques de l’infrastructure et des lacunes dans les audits de sécurité.