Facebook a stocké des années durant des centaines de millions de mots de passe non-cryptés d’utilisateurs. Voilà ce qu’a confirmé l’entreprise de médias sociaux, après que le chercheur en sécurité bien connu Brian Krebs ait dévoilé l’information.
Selon Krebs, des collaborateurs de Facebook auraient conçu des programmes qui stockaient les mots de passe des utilisateurs du réseau social. Ces mots de passe ont ensuite été conservés sous la forme de texte lisible normal sur des serveurs internes à l’entreprise. Et Krebs d’ajouter que beaucoup de collaborateurs de Facebook ont ainsi eu accès à ces mots de passe. Facebook le conteste et affirme qu’il ne s’agit que ‘d’un nombre select de collaborateurs techniques’.
Selon Facebook, des centaines de millions d’utilisateurs de Facebook Lite sont concernés. Il s’agit là d’une appli que Facebook propose dans des zones caractérisées par une lenteur de l’internet mobile. De plus, il est aussi question de dizaines de millions d’utilisateurs de l’appli Facebook normale et de dizaines de milliers d’utilisateurs d’Instagram. L’entreprise refuse cependant de confirmer que 600 millions d’utilisateurs ont été touchés en tout, comme le prétend Krebs.
‘L’adaptation du mot de passe superflue’
Facebook affirme avoir pris les mesures qui s’imposent. L’entreprise entend informer rapidement ses utilisateurs, tout en ajoutant dans un message posté sur son blog et portant le titre ironique ‘keeping passwords secure’ qu’aucun mot de passe ne devra être adapté et qu’elle n’a trouvé aucune preuve que ses collaborateurs auraient abusé de ces mots de passe.
C’est vite dit de la part de Facebook. Même si les mots de passe n’étaient pas visibles pour toute personne en dehors de l’entreprise, il n’est pas exclu que des collaborateurs aient visionné des mots de passe individuels et en aient abusé. Le fait que l’entreprise n’ait pas eu vent d’abus, s’avère très relatif. Pour rappel, début 2017, elle déclarait aussi ne rien savoir sur une grande partie de la liste très étoffée de scandales qui se manifestèrent quand même en 2018.
Pour les utilisateurs finaux, il s’agit surtout de ne pas utiliser leur mot de passe Facebook pour d’autres services. Si un employé a pu découvrir le mot de passe de quelqu’un, il peut en effet alors se connecter aussi à d’autres applis et services avec ce même mot de passe.
Le contrôleur irlandais du respect de la vie privée, qui surveille Facebook en Europe, a annoncé en avoir informé l’entreprise. Il ajoute vouloir obtenir davantage de renseignements de la part du réseau social.
Ces dernières années, Facebook a connu pas mal de problèmes en raison de son attitude laxiste vis-à-vis du respect de la vie privée, à la suite de quoi elle s’est à chaque fois excusée dans l’attente du… prochain scandale. Ce mois-ci, on a par exemple appris que Facebook avait utilisé aussi les numéros de téléphone que des gens donnaient pour sécuriser leur compte, à des fins publicitaires.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici