|
|
Google mémorise les anciens mots de passse
Guillaume Champeau -
publié le Mercredi 07 Décembre 2011 à 14h52 -
posté dans High-Tech
Lorsque l'internaute utilise un ancien mot de passe pour s'identifier sur ses services, Google n'affiche plus un message d'erreur classique, mais prévient que le mot de passe a changé. Mise à jour : Plusieurs lecteurs nous préviennent que Facebook dispose de la même fonctionnalité. Merci à eux --
Le cas échéant, Google renvoie l'internaute vers cette page d'explication. "Il semble que vous ayez tenté de vous connecter avec un ancien mot de passe. Si vous avez changé de mot de passe, il vous suffit de vous connecter avec votre nouveau mot de passe", indique Google, qui explique ensuite la marche à suivre dans le cas où l'utilisateur ignore le nouveau sésame. "Dans certains cas, votre ancien e-mail ou numéro de téléphone de récupération de mot de passe sont disponibles sur la page d'assistance relative aux mots de passe pour vous permettre de réinitialiser votre mot de passe. Si ce n'est pas le cas, vous aurez la possibilité de remplir notre formulaire de récupération de compte afin de valider votre identité et de rétablir l'accès à votre compte", précise-t-il. Cette modification pourrait soulever un problème d'interprétation juridique. Depuis le décret LCEN du 25 février 2011, les services en ligne ont en effet l'obligation de conserver "le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour", dans le cas où la police le demanderait dans le cadre d'une enquête judiciaire. Google n'a donc pas l'obligation de conserver tous les mots de passe historiques de l'utilisateur. Mais dès lors qu'il le fait, a-t-il l'obligation de les transmettre sur requête ? Une telle transmission pourrait faciliter le travail des enquêteurs lorsqu'ils cherchent à croiser les hashs des mots de passe sur différents services en ligne, pour simplifier la recherche de suspects. à lire aussi
  Prix indiqués avec livraison
48
Commentaires à propos de «Google mémorise les anciens mots de passse»
 D'un coté c'est plus sécurisant si jamais on se fait voler son compte. Google peut demander l'ancien mot de passe au vrai propriétaire non ?
 deadalnix, le 07/12/2011 - 14:57 Par ailleurs, si les services sont sérieux, ils utilisent du salage, ce qui rend impossible la comparaison de hash entre services. Bref, si c'est bien fait, ce n'est pas un problème du tout. Maintenant, allons savoir comment c'est fait, . . .  En même temps, le fait qu'il propose la fonction n'est pas le problème soulevé dans l'article...
Il pose simplement la question : quid en cas de procédure policière.  Mais ca date d'un moment....c'est pas nouveau.
Par contre, on peut faire des graphiques (exemple, rechercher 'sin(x)' comme expression)  Effectivement facebook fait pareil, comme je me trompais de mdp à chaque fois, il me l'affichait.
Cependant au bout d'un certain temps, il a arrêté, après est-ce qu'il l'a quand même gardé ? ... Non mais ce n'est pas du tout un soucis.
Faut voir que pour des raisons de sécurité, beaucoup de services et applications empêchent l'emploi d'anciens mots de passe. C'est ainsi sur les deux messageries mail que j'utilise !  Je vois pas trop l'intérêt pour Google de conserver les anciens passwords, mais nul doute que si les flics lui demandent les anciens passwords, Google les transmettra.
C'est infiniment lassant d'entendre parler sans arrêt de Google et Facebook et de leurs difficultés à respecter les données personnelles, les contenus ou les choix des utilisateurs. Si ces entreprises apportent réellement des "services", qu'est-ce que ça serait alors si elles avaient pour but d'apporter des "contraintes" ! U., le 07/12/2011 - 16:05
Je vois pas trop l'intérêt pour Google de conserver les anciens passwords, mais nul doute que si les flics lui demandent les anciens passwords, Google les transmettra. C'est infiniment lassant d'entendre parler sans arrêt de Google et Facebook et de leurs difficultés à respecter les données personnelles, les contenus ou les choix des utilisateurs. Si ces entreprises apportent réellement des "services", qu'est-ce que ça serait alors si elles avaient pour but d'apporter des "contraintes" ! kastor, le 07/12/2011 - 15:54 Non mais ce n'est pas du tout un soucis. Faut voir que pour des raisons de sécurité, beaucoup de services et applications empêchent l'emploi d'anciens mots de passe. C'est ainsi sur les deux messageries mail que j'utilise ! Yep, très courant aussi sur les intranet et les applications en entreprise.  flob, le 07/12/2011 - 16:15
U., le 07/12/2011 - 16:05
Je vois pas trop l'intérêt pour Google de conserver les anciens passwords, mais nul doute que si les flics lui demandent les anciens passwords, Google les transmettra. C'est infiniment lassant d'entendre parler sans arrêt de Google et Facebook et de leurs difficultés à respecter les données personnelles, les contenus ou les choix des utilisateurs. Si ces entreprises apportent réellement des "services", qu'est-ce que ça serait alors si elles avaient pour but d'apporter des "contraintes" ! Est-on certain que seuls les hashes sont conservés et non les valeurs en clair ? Conserver les valeurs en clair permet de refiler cela à la NSA ou aux services de flicage français afin qu'ils les utilisent des fois qu'un internaute les utiliserait sur d'autres services en ligne.
Gourmet, le 07/12/2011 - 16:42
Est-on certain que seuls les hashes sont conservés et non les valeurs en clair ? Conserver les valeurs en clair permet de refiler cela à la NSA ou aux services de flicage français afin qu'ils les utilisent des fois qu'un internaute les utiliserait sur d'autres services en ligne.  flob, le 07/12/2011 - 16:50 Gourmet, le 07/12/2011 - 16:42
Est-on certain que seuls les hashes sont conservés et non les valeurs en clair ? Conserver les valeurs en clair permet de refiler cela à la NSA ou aux services de flicage français afin qu'ils les utilisent des fois qu'un internaute les utiliserait sur d'autres services en ligne. Tu veux dire que tu "chiffres"... Par ailleurs, le mot de passe de la messagerie ne doit surtout pas être utilisé sur d'autres sites... Une indication, pour essayer de savoir comment le mot de passe est stocké par un site. Utilisez la fonction "mot de passe oublié". Deux possiblités: ou le site est bien fait, et il vous génère un nouveau de passe à changer lors de la connexion, ou il vous renvoit votre mot de passe... Gourmet, le 07/12/2011 - 16:42
Est-on certain que seuls les hashes sont conservés et non les valeurs en clair ? Conserver les valeurs en clair permet de refiler cela à la NSA ou aux services de flicage français afin qu'ils les utilisent des fois qu'un internaute les utiliserait sur d'autres services en ligne. Et donc ? Ca ne change rien. S'ils ont le mot de passe en clair (ce qui m'étonnerait au plus haut point), ils peuvent effectivement redonner cet accès à n'importe qui (d'ailleurs, il y a des moyens bien plus simples, par un accès dédié). Le fait de chiffrer ton mot de passe avec PGP n'y changera rien (par contre, chiffrer tes mails, ça c'est intéressant). Peut-être s'agit il d'une coquille ? nemessa, le 07/12/2011 - 17:07
Gourmet, le 07/12/2011 - 16:42
Est-on certain que seuls les hashes sont conservés et non les valeurs en clair ? Conserver les valeurs en clair permet de refiler cela à la NSA ou aux services de flicage français afin qu'ils les utilisent des fois qu'un internaute les utiliserait sur d'autres services en ligne. Et donc ? Ca ne change rien. S'ils ont le mot de passe en clair (ce qui m'étonnerait au plus haut point), ils peuvent effectivement redonner cet accès à n'importe qui (d'ailleurs, il y a des moyens bien plus simples, par un accès dédié). Le fait de chiffrer ton mot de passe avec PGP n'y changera rien (par contre, chiffrer tes mails, ça c'est intéressant). Peut-être s'agit il d'une coquille ?  Je me doute que ca change absolument rien.. Mais bon, un peu de rire dans ce monde si triste, est ce mal  ? Google mémorise les anciens mots de passse
Pour qui sont ces ssssserpents qui ssssiflent sur nos têtes ? Sérieusement, j'en reviens à ce qui me semble une évidence : il est absurde que les mots de passe soient communiqués à un serveur qui peut en faire ce qu'il en veut. Il est absurde que l'on soit obligé de faire confiance à une société et à ses employés quand on communique cette information. Un mot de passe doit rester au niveau de l'ordinateur. Ce sont des demandes d'autorisation qui doivent circuler. Messieurs du W3C, au lieu de vous amuser à implémenter les manettes de jeux, pourquoi est-ce que vous ne vous occupez pas de ce problème ? Google mémorise les anciens mots de passse
Sérieusement, j'en reviens à ce qui me semble une évidence : il est absurde que les mots de passe soient communiqués à un serveur qui peut en faire ce qu'il en veut. Il est absurde que l'on soit obligé de faire confiance à une société et à ses employés quand on communique cette information. Il y a bien évidemment une relation de confiance entre un client - serveur. Effectivement, concernant le mot de passe, ils en font ce qu'ils veulent, au même titre que nos données (mails, photos, coordonnées,...). Une solution serait de ne faire confiance qu'à une seule entité (nous-même) et d'être notre propre fournisseur d'identité (cf OpenID). Ce fournisseur d'identité se chargerait ensuite de donner des droits à des applications. Cependant, pour une raison évidente (il faut , il faut pouvoir se loguer sur cette machine (fournisseur centralisée) pour que les consommateurs (GMail, Facebook,...) puissent vérifier l'identité. Le problème pourrait cependant venir de ce fournisseur d'identité unique : il suffit de le corrompre pour donner les droits à tout le monde, et qu'il ait accès à toutes les applications. Il vaut mieux que ces accès ne soient pas trop centralisés ailleurs que chez l'utilisateur lui même. Rien n'empêcherait que ce fournisseur d'identité soit déclaré au niveau du poste client (mais cela nécessiterait que Google connaisse tous les fournisseurs d'identité et les ai validés). Si quelqu'un a une explication plus pertinente, je suis preneur. Il y a bien évidemment une relation de confiance entre un client - serveur
Tu peux bien évidemment faire confiance à une société au vu de sa réputation, de sa notoriété, ... Mais il suffit d'une personne à l'intérieur de cette société pour que la sécurité s'effondre. Pour le système d'authentification dont je parle, je laisse le soin aux techniciens de trouver des solutions (qui pourquoi pas, pourraient passer par des éléments hard dans le PC) à la fois sécurisées et ergonomiques. Mais pour avoir fait du ftp avec le serveur Web d'un ministère français, je peux vous assurer que le code et le mot de passe qui circulaient étaient à usage unique et permettaient au serveur du ministère d'identifier l'entreprise émettrice.
|
A LA UNE
LES + COMMENTÉS
  4 offres à partir de 17 €
Télécharger
torrent,
montage video,
redtube video downloader,
adobe flash player,
ground control,
bittorrent emule islande,
cryptage emule islande,
bittorrent emule island,
Accès rapide :
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
|
C'est à notre connaissance une première, qui pourrait inspirer d'autres services en ligne. Le blog 
![eMule 0.49b [TK4 Mod]](http://images.numerama.com/img/s/t6651-35-37-emule-049b-tk4-mod.jpg)
Par ailleurs, si les services sont sérieux, ils utilisent du salage, ce qui rend impossible la comparaison de hash entre services.
Bref, si c'est bien fait, ce n'est pas un problème du tout. Maintenant, allons savoir comment c'est fait, . . .