Lorsque l’internaute utilise un ancien mot de passe pour s’identifier sur ses services, Google n’affiche plus un message d’erreur classique, mais prévient que le mot de passe a changé.

Mise à jour : Plusieurs lecteurs nous préviennent que Facebook dispose de la même fonctionnalité. Merci à eux

C’est à notre connaissance une première, qui pourrait inspirer d’autres services en ligne. Le blog Google Operating System rapporte que la firme de Mountain View mémorise les anciens mots de passe utilisés par ses utilisateurs, sous forme de hash (qui ne permet pas de lire en clair le mot de passe mais simplement de vérifier par une signature unique s’il correspond bien à celui saisi). Cette sauvegarde lui permet de prévenir l’utilisateur lorsqu’il tente de se logger en utilisant un ancien mot de passe, soit parce qu’il a oublié qu’il en avait changé, soit parce que son compte a été piraté et qu’un intrus a modifié le mot de passe à sa place.

Le cas échéant, Google renvoie l’internaute vers cette page d’explication. « Il semble que vous ayez tenté de vous connecter avec un ancien mot de passe. Si vous avez changé de mot de passe, il vous suffit de vous connecter avec votre nouveau mot de passe« , indique Google, qui explique ensuite la marche à suivre dans le cas où l’utilisateur ignore le nouveau sésame. « Dans certains cas, votre ancien e-mail ou numéro de téléphone de récupération de mot de passe sont disponibles sur la page d’assistance relative aux mots de passe pour vous permettre de réinitialiser votre mot de passe. Si ce n’est pas le cas, vous aurez la possibilité de remplir notre formulaire de récupération de compte afin de valider votre identité et de rétablir l’accès à votre compte« , précise-t-il.

Cette modification pourrait soulever un problème d’interprétation juridique. Depuis le décret LCEN du 25 février 2011, les services en ligne ont en effet l’obligation de conserver « le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour« , dans le cas où la police le demanderait dans le cadre d’une enquête judiciaire. Google n’a donc pas l’obligation de conserver tous les mots de passe historiques de l’utilisateur. Mais dès lors qu’il le fait, a-t-il l’obligation de les transmettre sur requête ? Une telle transmission pourrait faciliter le travail des enquêteurs lorsqu’ils cherchent à croiser les hashs des mots de passe sur différents services en ligne, pour simplifier la recherche de suspects.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !