Cas de paralysie opérationnelle causée par la suspension d’un compte Google Workspace

 (zencapital.substack.com)
1 points par GN⁺ 29 일 전 | 1 commentaires | Partager sur WhatsApp
  • Incident où un compte Google Workspace a été suspendu pour suspicion de piratage, bloquant l’accès aux e-mails et aux services ; malgré une preuve de propriété du domaine via authentification DNS, la restauration a été retardée
  • Un compte administrateur unique faisait office de hub d’authentification pour tous les systèmes de travail : e-mail, Drive, Calendar, paie, CRM, etc., provoquant une impossibilité d’accès à l’échelle de l’entreprise dès la suspension
  • Après la suppression du numéro de téléphone de récupération pendant une connexion depuis l’étranger, une fausse alerte de sécurité s’est déclenchée, menant à une impossibilité totale de se connecter, même avec les codes de secours et les passkeys
  • En raison de la procédure d’attente de 30 jours et de tickets d’assistance confus et répétés côté Google, la restauration a été retardée ; même via la communauté et les réseaux sociaux, la seule réponse a été « attendez »
  • Après plus de 40 heures d’interruption, l’accès a été restauré grâce à l’intervention d’un employé de Google, révélant que la dépendance à un compte unique constitue un risque critique pour la continuité d’activité

Cas de paralysie opérationnelle causée par la suspension d’un compte Google Workspace

  • Cas où l’accès aux e-mails a été bloqué après la suspension d’un compte Google Workspace pour « suspicion de piratage »

    • En réalité, il s’agissait de la connexion du propriétaire lui-même pendant un voyage d’affaires à l’étranger, mais Google l’a interprétée à tort comme une compromission du compte
    • Bien que la propriété du domaine ait été prouvée via authentification DNS, l’envoi et la réception des e-mails ont été entièrement interrompus

  • Un compte administrateur unique servait de hub d’authentification pour tous les services

    • L’e-mail, Drive, Calendar, le système de paie, le CRM (Pipedrive), l’application de gestion des tâches et les systèmes internes dépendaient tous de Google OAuth
    • Dès la suspension du compte, l’accès à tous les services a été bloqué, entraînant un arrêt généralisé de l’activité

  • Déroulement de l’incident

    • Le 4 avril vers 5 h du matin, pendant un voyage d’affaires à l’étranger, le numéro de téléphone de récupération a été supprimé afin d’éviter l’authentification par SMS
    • Juste après, une fausse alerte de sécurité indiquant que « l’application d’authentification a été supprimée » s’est déclenchée, faisant basculer le compte dans un état d’impossibilité de connexion
    • Les codes de secours, les passkeys et même les appareils déjà connectés n’ont pas pu être utilisés comme moyens d’authentification

  • Tentatives de restauration et confusion du support Google

    • La vérification via enregistrements DNS CNAME/TXT a été effectuée, mais la procédure de récupération par e-mail imposait une attente de 30 jours
    • Une demande d’assistance a été faite via un autre compte Workspace, mais seul un lien nécessitant une connexion a été fourni, empêchant toute avancée
    • La confusion s’est répétée entre plusieurs agents du support, avec des tickets dupliqués, fermés puis rouverts
    • Même via le forum communautaire et X.com, la réponse répétée a été « attendez »

  • Impact opérationnel et durée

    • En raison d’un retard de restauration de plus de 40 heures, le traitement de la paie, les réunions Google Meet et le calendrier des négociations commerciales ont tous été interrompus
    • Une partie du travail a été basculée sur une adresse e-mail personnelle, mais cette solution restait limitée en raison de la nécessité de maintenir la séparation avec le compte professionnel

  • Mises à jour supplémentaires

    • Update 1: il était possible de basculer les enregistrements MX vers un autre service de messagerie, mais les anciens e-mails et calendriers restaient irrécupérables
    • Update 2: la promesse du support Google d’une « mise à jour dans 1 à 2 heures » a été répétée, mais la résolution a continué à être retardée
    • Update 3: la restauration finale de la connexion a réussi grâce à l’intervention directe d’un employé de Google

Leçons tirées après l’incident et réactions de la communauté

  • Les utilisateurs de Hacker News ont souligné que plusieurs signaux de risque s’étaient produits simultanément : changement de pays, suppression du numéro de récupération, absence de modification des enregistrements MX, etc.
  • L’auteur a expliqué qu’après le changement de pays, le compte avait été utilisé normalement pendant 6 jours depuis la même IP, et que la suppression du numéro de téléphone avait joué un rôle direct dans l’incident
  • Les enregistrements MX auraient pu être basculés vers Fastmail ou Protonmail, mais cela n’aurait pas constitué une alternative réelle en raison des problèmes liés aux anciens e-mails, au calendrier et aux connexions OAuth
  • Malgré la possession de l’authentification à deux facteurs, des passkeys, des codes de secours, d’une adresse e-mail de récupération et de l’accès au même appareil, la récupération a échoué
  • Ce cas a montré que la dépendance excessive à un unique compte Google Workspace constitue un risque grave pour la continuité d’activité

À lire aussi

1 commentaires

 
GN⁺ 29 일 전
Réactions sur Hacker News

  • Google a autrefois semblé être le « big tech le moins mauvais », mais l’expérience réelle du support client a été épouvantable
    J’ai acheté un Pixel, mais je n’ai jamais reçu l’abonnement Gemini AI Pro d’un an promis, et le service client n’a rien résolu
    Un ami a eu le même problème, et il a aussi subi la même absence de réponse lors d’un changement de forfait Google One
    À moins de dépenser des millions de dollars, je ne vois plus pourquoi choisir les services Google

    • J’ai acheté un Pixel 6a et la batterie a lâché après 400 cycles de charge. Google a proposé 100 dollars de compensation, mais même après avoir envoyé tous les documents, je n’ai jamais reçu l’argent. Google est nul
    • Google a toujours été, comme les autres big tech, une « entreprise malfaisante ». « Don’t be evil » n’était qu’un slogan de RP
      Vers 2008, quand j’ai signalé un bug sur Blogspot, un bénévole « diamant » m’a ignoré. Il n’y avait aucun moyen d’accéder à une vraie équipe support
    • Je me demande si ce genre de situation pourrait se régler par une small claims court. J’aimerais savoir si c’est une voie réaliste pour qu’un consommateur réagisse à une rupture de contrat
    • Mon compte Adsense est resté suspendu pendant 13 ans, puis a été réactivé sans explication. Un concurrent a probablement envoyé de faux clics
    • Google a déjà rompu, il y a 10 ans, sa promesse de ne pas utiliser les données des utilisateurs pour la publicité
      Selon l’article Google’s broken privacy promise, Google a supprimé la clause promettant de ne pas combiner les informations issues de services comme Gmail avec ses données publicitaires

  • Encore un article du type « un fournisseur cloud a bloqué un compte et tout a été perdu »
    Ceux qui dépendent de services cloud, pas seulement chez Google mais aussi chez Amazon, Microsoft ou Apple, doivent prévoir un plan en cas de suspension de compte
    Si vous confiez des données importantes à ces services, des sauvegardes ou des solutions de secours sont indispensables

    • Quelqu’un disait autrefois : « ne t’attache jamais à un service cloud que tu ne peux pas quitter en 30 secondes » — citation de Robert De Niro
    • Dans notre entreprise, nous utilisons Cubebackup pour les sauvegardes Google Workspace
      Il est plus difficile qu’on ne le pense d’avoir une « sauvegarde externe » restaurable en dehors du service SaaS, mais c’est indispensable
    • C’est l’un des avertissements les plus fréquents sur HN. Juste après « si tu n’utilises pas Claude Code, tu vas te faire distancer »
    • Google pose un problème particulier parce que des gens non techniques peuvent perdre leur unique compte e-mail sans avoir la moindre idée de la façon de le récupérer
    • Ce genre de situation ressemble à « se faire expulser d’un bâtiment loué, avec ses affaires jetées dehors ». Au final, il faut changer la loi

  • Il vaut mieux éviter, si possible, les boutons « Login with Google/Apple/Facebook »
    Cela crée un point de défaillance unique. Quand c’est possible, utiliser son propre système de connexion est plus sûr
    En tant qu’ancien Googler, je n’utilisais Gmail que lorsque j’avais un accès interne, et après mon départ j’ai aussi abandonné Gmail

    • J’ai vu un article disant que le système eIDAS allemand exigeait un compte Google ou Apple. Cela reviendrait à rendre l’authentification d’État dépendante des big tech
    • Notre application propose aussi la connexion via Google/Facebook, mais comme ces deux entreprises bloquent les connexions automatisées via Selenium, les tests E2E sont impossibles
    • Tailscale m’a paru étrange parce que c’est la seule entreprise que j’aie vue à ne proposer que des connexions tierces. Quelqu’un sait pourquoi ?
    • Tailscale propose en échange un SSO personnalisé gratuit

  • Je suis administrateur système bénévole du forum Buildhub
    Pendant 10 ans, nous étions bien classés dans la recherche Google, puis le 28 décembre 2025 nous avons soudain disparu de l’index
    Les forums Google sont vides, et il n’y a personne à contacter. En tant que client payant de Workspace, je réfléchis sérieusement à un plan de secours

    • Sur les forums de Google, Microsoft et Apple, il y a beaucoup de gens qui se construisent un portfolio avec des réponses inutiles
      Certains semblent gamifier le système dans l’espoir d’être invités au siège de Google

  • J’étais un early adopter de Google Glass en 2013. J’avais reçu une formation directement au siège de New York, ainsi qu’un numéro de support dédié joignable 24 h/24
    J’ai cassé l’appareil deux fois et il a été remplacé gratuitement à chaque fois. À l’époque, ce type de support client existait

    • En réalité, nous étions pratiquement une équipe de test bénévole. Quand le produit change d’équipe, l’intérêt disparaît
    • Si l’on compare les 8 000 premiers utilisateurs de Glass aux centaines de millions d’utilisateurs de Workspace, la différence de qualité du support est logique
    • La politique de remplacement illimité de l’époque n’était qu’un coût de R&D, pas de la charité
    • Quand j’appelais autrefois le numéro du support Google Wifi, j’avais quelqu’un immédiatement, alors qu’aujourd’hui je n’entends plus qu’un message disant que « le support est terminé »
    • Pour les remboursements Stadia, j’ai exceptionnellement reçu le remboursement intégral de tous mes paiements.
      La qualité du support client chez Google varie énormément selon les divisions produit. Workspace est particulièrement mauvais

  • Ce genre de situation est quasiment illégal. À mesure que les grandes entreprises prennent le contrôle de davantage d’aspects de la vie, les gens ordinaires deviennent de plus en plus impuissants
    Si elles fournissent des services essentiels, elles doivent assumer les responsabilités qui vont avec

    • Les services cloud utilisés par plus de 1 % de la population devraient être tenus d’avoir un service client physique dans chaque ville
      Comme les opérateurs télécoms, avec du personnel dans chaque boutique, et Google en a largement les moyens
    • Il faut un guichet public de réclamation contre les big tech
    • « Exerting power » au lieu de « Excreting power » : l’expression est fausse, mais l’image est amusante

  • J’ai traversé une procédure de récupération de compte administrateur, et la politique de sécurité était contradictoire
    Le compte a été débloqué manuellement, mais on me demandait toujours une vérification SMS sur un numéro supprimé
    Même après avoir ajouté une clé de sécurité ou un TOTP, le SMS restait obligatoire. Si le numéro est compromis, tout est fini

    • Mon compte Gmail aussi a eu la 2FA activée de force sans avertissement.
      Même avec l’identifiant, le mot de passe et l’e-mail de récupération, impossible de me connecter parce qu’on me demandait un SMS sur un numéro que je n’avais plus
      Meta a au moins des gens qui peuvent régler ça si on paie, mais Google n’a absolument rien

  • Si on utilise Google Workspace sans équipe d’exploitation de niveau entreprise, un seul compte administrateur devient un point de défaillance unique
    Je me suis retrouvé pris dans une boucle d’authentification qui bloquait tous les moyens d’accès, et ce n’est qu’après plusieurs menaces d’action en justice que j’ai pu parler à quelqu’un et résoudre le problème

  • Il est possible que l’auteur ait été piraté. L’attaquant a peut-être pris le contrôle de l’appareil OTP ou de l’accès DNS, mais pas du numéro de téléphone
    Dans ce cas, il n’existe aucun moyen de prouver son identité. Ce serait bien d’avoir un bureau où l’on pourrait se présenter en personne avec son passeport pour vérification

    • Ce serait bien d’avoir une option permettant d’enregistrer une pièce d’identité officielle de manière facultative
      Le modèle de vérification en bureau de poste, comme pour login.gov, est intéressant
      Mais commercialement, c’est difficile à mettre en œuvre, et l’idée d’imposer une vérification d’identité en ligne suscite un fort rejet
    • Si cet utilisateur a réellement été piraté, récupérer son compte Gmail est impossible
      Google préfère bloquer le compte plutôt que déterminer qui a raison

  • C’est difficile à croire, mais Microsoft (Office365) a vraiment une équipe support joignable par téléphone
    L’interface est affreuse, mais le problème a fini par être résolu

    • Il y a aussi eu un article disant que chez Azure, l’automatisation est tellement mauvaise que des milliers de contractuels corrigent les problèmes à la main
      Mais cela a aussi l’avantage d’avoir réellement beaucoup de personnes capables de résoudre les problèmes
      Article lié : HN discussion