3 min de lecture Connecté

Facebook a conservé des centaines de millions de mots de passe sans protection

L'entreprise de Mark Zuckerberg a reconnu le 21 mars que les mots de passe d'au moins 200 millions d'utilisateurs avaient été stockés en clair sur des serveurs internes consultables par des milliers d'employés durant des années.

Une figurine devant l'écran craquelé montrant le logo de Facebook
Une figurine devant l'écran craquelé montrant le logo de Facebook Crédit : JOEL SAGET / AFP
BenjaminHuepro
Benjamin Hue
Journaliste RTL

C'est une nouvelle affaire embarrassante pour le premier réseau social mondial. Facebook a indiqué jeudi 21 mars dans un article publié sur son blog qu'il avait stocké des mots de passe non cryptés de centaines de millions de comptes sur des serveurs internes pendant des années, confirmant les révélations de l'expert en cybersécurité américain Bryan Krebs.

Ces mots de passe étaient lisibles par près de 20.000 employés du groupe, des ingénieurs et des développeurs effectuant des travaux sur cette base de données. Entre 200 et 600 millions d'utilisateurs de Facebook, Instagram et de Facebook Lite sont concernés par ces pratiques dont l'origine remonte à 2012.

Facebook assure n'avoir trouvé aucun élément laissant penser que ces données ont été utilisées à mauvais escient. "Pour être clair, ces mots de passe n'ont jamais été visibles pour personne à l'extérieur de Facebook et nous n'avons trouvé à ce jour aucune preuve que quelqu'un en ait abusé en interne ou y ait accédé de façon inappropriée", explique l'entreprise dans son communiqué. Une enquête interne a été ouverte pour faire la lumière sur cette nouvelle affaire.

À lire aussi
Une personne codant sur un ordinateur (illustration) Connecté
Tchap : la nouvelle messagerie sécurisée de l'État français déjà piratée

Le problème a été résolu. Les utilisateurs dont le mot de passe a été stocké en clair seront notifiés prochainement. Selon Facebook, il y aurait plusieurs centaines de millions d'usagers de Facebook Lite (un version allégée du réseau social pour les mobiles à faible connexion Internet), des dizaines de millions d'utilisateurs de Facebook et des dizaines de milliers d'utilisateurs d'Instagram.

Une règle basique de la sécurité informatique

L'incident a été découvert en janvier lors d'un examen de sécurité de routine. "Cela a attiré notre attention car nos systèmes sont conçus pour masquer les mots de passe en utilisant des techniques qui les rendent illisibles", explique dans le communiqué Pedro Canahuati , vice-président de Facebook en charge de l'ingénierie, la sécurité et la confidentialité. 

Stocker des mots de passe en clair est un moyen peu sûr de conserver des données sensibles. C'est un manquement à une règle de base de la sécurité informatique. Pour garantir la protection des informations, les entreprises ne stockent normalement que les empreintes des mots de passe. Ces derniers sont cryptés pour produire des suites de caractères qui ne pourront pas être déchiffrées si le support dans lequel ils sont stockés est un jour compromis. Cela permet aussi aux entreprises comme Facebook de vérifier les mots de passe de ses utilisateurs sans les lire.

Twitter et GitHub ont été touchés par des problèmes similaires l'année dernière. Les deux entreprises avaient admis avoir conservé par erreur des mots de passe en texte brut non cryptés sur des serveurs. À l'époque, Twitter avait conseillé à ses utilisateurs de changer leur mot de passe. Même s'il assure qu'aucun mot de passe n'a été exposé à l'extérieur, Facebook suggère tout de même à ses utilisateurs de modifier leur mot de passe dans les paramètres de leur compte sur le réseau social et sur Instagram.

Scandales en série

Facebook n'a pas précisé si l'incident a été notifié aux autorités nationales et internationales compétentes. Si des utilisateurs européens sont touchés, le réseau social s'expose à une amende pouvant aller jusqu'à 4% de son chiffre d'affaires mondial. Le règlement européen de protection des données personnelles entré en vigueur en mai dernier impose aux entreprises d'informer son autorité dans les 72 heures suivant la découverte d'un problème de sécurité. 

Cet incident vient s'ajouter à une longue liste de scandales pour Facebook qui manque régulièrement à sa mission de protéger les données de ses usagers. L'entreprise fait l'objet de plusieurs enquêtes en Europe et aux États-Unis dans le cadre de l'affaire Cambridge Analytica qui avait vu les données de plusieurs dizaines de millions d'utilisateurs exploitées frauduleusement par une entreprise britannique œuvrant pour la campagne de Donald Trump. Facebook a aussi dû admettre qu'il avait fait l'objet d'un piratage ayant visé 29 millions de comptes en septembre dernier.

La rédaction vous recommande
Lire la suite
Connecté Facebook Réseaux sociaux
Restez informé
Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires. Cette inscription sera valable sur le site RTL.fr.

Connectez-vous Inscrivez-vous

500 caractères restants

fermer
Signaler un abus
Signaler le commentaire suivant comme abusif
500 caractères restants
article
7797263014
Facebook a conservé des centaines de millions de mots de passe sans protection
Facebook a conservé des centaines de millions de mots de passe sans protection
L'entreprise de Mark Zuckerberg a reconnu le 21 mars que les mots de passe d'au moins 200 millions d'utilisateurs avaient été stockés en clair sur des serveurs internes consultables par des milliers d'employés durant des années.
https://www.rtl.fr/actu/futur/facebook-a-conserve-des-centaines-de-millions-de-mots-de-passe-sans-protection-7797263014
2019-03-21 19:02:00
https://cdn-media.rtl.fr/cache/ZH1ijtqPhQI66EqeRYZd1w/330v220-2/online/image/2019/0211/7796509539_une-figurine-devant-l-ecran-craquele-montrant-le-logo-de-facebook.jpg