Les mois se suivent et se ressemblent pour Facebook en matière d'incident de sécurité. Déjà sous le coup d'une procédure lancée en décembre dernier par le procureur général de Washington et une autre lancée par l'autorité de la concurrence allemande il y a quelques semaines, le géant des réseaux sociaux s'enfonce dans la tourmente des données personnelles.
Facebook a ainsi confirmé hier que des centaines de millions de mots de passe d'utilisateurs étaient stockés sur ses serveurs dans un « format lisible », accessible aux employés de Facebook. Le réseau social a indiqué que les utilisateurs concernés seraient avertis, et qu’une notification de modification de mot de passe leur serait adressée. Il est intéressant de remarquer que dans le message publié hier, Facebook a, à la fois, minimisé et confirmé le problème, après que le chercheur Brian Krebs a publié son propre rapport. Au début de son message, Pedro Canahuati, le vice-président de l'ingénierie pour la sécurité et la protection de la vie privée de Facebook, a fait état de « certains » mots de passe d'utilisateurs accessibles aux employés de Facebook. Mais dans un paragraphe suivant, il annonce que « des centaines de millions d'utilisateurs de Facebook Lite, des millions d'utilisateurs de Facebook et des dizaines de milliers d'utilisateurs d'Instagram » seraient informés.
Des problèmes avec la solution de stockage des jetons d'accès
Selon Facebook, il s'agit d'un problème interne. « Pour être clair, ces mots de passe n'ont jamais été visibles par quiconque à l'extérieur de Facebook et nous n'avons trouvé jusqu'à présent aucune preuve que quelqu'un a abusé de ces données en interne ou y a accédé de façon inappropriée », a écrit Pedro Canahuati. Facebook a également découvert des problèmes avec sa solution de stockage d’informations liées aux jetons d'accès, et les a corrigés. « Il n'y a rien de plus important pour nous que de protéger les informations personnelles de nos utilisateurs, et nous poursuivons nos efforts pour améliorer en permanence la sécurité sur Facebook », a encore écrit Pedro Canahuati.
Brian Krebs décrit une situation très différente. Même s’il précise qu'il ne dispose d'aucune information indiquant que des employés de Facebook ont pu abuser de cet accès aux mots de passe des utilisateurs, une source lui a dit que les employés avaient créé des applications qui enregistraient les données non chiffrées des utilisateurs de Facebook et les stockaient en texte clair sur les serveurs internes de l’entreprise. D’après cette même source, « depuis 2012, les mots de passe des comptes de 200 à 600 millions d'utilisateurs de Facebook ont été stockés en texte clair et étaient consultables par plus de 20 000 employés du réseau social », a écrit le chercheur. Étrangement, Scott Renfro, un ingénieur de Facebook, a dit à Brian Krebs que « Facebook avait découvert que ces mots de passe avaient été enregistrés par inadvertance, mais qu'il n'y avait aucun risque réel ».
Une image de marque ternie
Ce n’est pas le premier scandale qui éclabousse Facebook. Le 15 mars dernier, le terroriste néo-zélandais à l’origine de l’attaque des deux mosquées de Christchurch faisant 50 victimes, a pu transmettre le carnage en direct pendant 17 minutes via Facebook Live avant une intervention du réseau social. Autre affaire : après l’annonce, il y a 3 jours, de changements dans sa gestion des publicités sur l’emploi, le logement et le crédit ciblant les minorités et les populations les plus fragiles économiquement, le réseau social est poursuivi par plusieurs organisations de défense des droits civiques aux États-Unis.
À noter que Facebook Lite est une version simplifiée de Facebook lancée en 2009, d’abord aux États-Unis et en Inde, pour permettre à ceux qui n'ont pas accès à des services Internet haut débit d’utiliser le réseau social. Depuis, cette version est disponible dans de nombreux autres pays. Mais aux États-Unis, la grande majorité des utilisateurs utilisent la version complète de Facebook.
Du méga grand n'importe quoi, j'en reste sans voix: facebook ne hash pas ses mots de passe. C'est limite intentionnel! vu les précédents piratages et fuites de données. Même les plus petites startup le font. Dire qu'on nous met la pression avec le RGPD mais la c'est à l'europe de mettre une grosse grosse pression à ces messieurs.
Signaler un abusDes mots de passe stockés en clair ? Chez Facebook ? Mais même ma grand mère sait saler et hasher des mots de passe... Seriously Facebook ?
Signaler un abus