Des centaines de millions de mots de passe stockés en clair — Facebook

22 Mars, 2019, 14:38 | Auteur: Lynn Cook
  • Nouveau boulet au pied de Facebook qui a stocké des mots de passe non cryptés

Au total, les mots de passe - entre 200 et 600 millions - étaient théoriquement accessibles à plus de 20.000 collaborateurs. Jeudi, l'entreprise a reconnu avoir fait une erreur monumentale, en stockant pendant des années des " centaines de millions " de mots de passe d'utilisateurs en clair - sous une forme non chiffrée - sur ses serveurs internes. C'est ce qu'a révélé le blogue sur la sécurité KrebsOnSecurity.

"Nous avons résolu le problème et, par mesure de précaution, nous allons prévenir tous ceux dont les mots de passe ont été stockés sous cette forme", a souligné Facebook dans un communiqué, précisant que normalement ses systèmes auraient dû les crypter.

Conscient du problème dès le mois de janvier dernier, Facebook a confirmé son existence et assuré l'avoir corrigé dans un communiqué officiel sur son blog. D'après une source anonyme, une enquête interne a été ouverte au sein de Facebook.

Facebook a stocké en interne des millions de mots de passe non cryptés
Media Facebook a stocké en interne des millions de mots de passe non cryptés

Les utilisateurs concernés par ce manquement aux règles de sécurité vont être prévenus par le groupe américain. Certains mots de passe dateraient de 2012, et pourraient donc avoir été vulnérables depuis plus de six ans. "Cela a attiré notre attention, nos systèmes étant conçus pour masquer les mots de passe en utilisant des techniques qui les rendent illisibles", a ajouté Facebook. Le règlement européen exige que les entreprises stockent les mots de passe de manière sécurisée, et de notifier ses utilisateurs en cas de vulnérabilité sous les 72 heures. 2 000 ingénieurs ou développeurs ont effectué 9 milliards de requêtes internes pour des éléments contenus dans cette base de données laissée à l'air libre.

Les exemples de stockage en clair (sans protection) de mots de passe par des entreprises ne sont pas forcément rares, même s'il s'agit d'une très mauvaise pratique en termes de cybersécurité.

En l'absence de signes pointant vers une quelconque fuite de données, le réseau social a pris la décision de ne pas réinitialiser les mots de passe des intéressés.