Sécurité

Facebook et Instagram sauvegardent des centaines de millions de mots de passe en texte clair

15 mai 2019
Ajouter un commentaire
3 minutes de lecture

Facebook semble ne pas pouvoir se passer d’une énorme lacune en matière de sécurité, et ne fait pas exception aujourd’hui : le réseau social a stocké “des centaines de millions” de mots de passe en texte clair, auxquels 20 000 employés pourraient accéder en interne. Cela touche même les utilisateurs de Facebook Lite et Instagram. L’entreprise affirme qu’il n’y a pas eu de fuite.

  • Testez votre vitesse Internet avec le test de vitesse PerlmOl

  • Dans une déclaration, la société déclare : “Nous estimons que nous allons informer des centaines de millions d’utilisateurs de Facebook Lite, des dizaines de millions d’autres utilisateurs de Facebook et des dizaines de milliers d’utilisateurs d’Instagram.

    Une source sur Facebook indique au chercheur en sécurité Brian Krebs que le problème a touché entre 200 et 600 millions d’utilisateurs, dans certains cas depuis 2012. Les mots de passe en texte clair seraient consultables en interne par plus de 20 000 employés.

    Mais ce n’est pas tout : environ 2 000 ingénieurs ou développeurs ont effectué quelque 9 millions de requêtes internes qui ont permis de retrouver les mots de passe des utilisateurs en texte clair.

      Exclusif : 53 000 données des partenaires de RV Les bénéfices sont exposés sur l'internet

    Facebook affirme que ces mots de passe n’étaient visibles qu’au sein de l’entreprise, “et nous n’avons trouvé aucune preuve jusqu’au moment où quelqu’un en a abusé en interne, ou a obtenu un accès abusif.

    Facebook a découvert le problème des mots de passe en janvier

    Scott Renfro, un ingénieur logiciel sur Facebook, explique à KrebsOnSecurity que le problème a été détecté par des ingénieurs en sécurité en janvier 2019. “Cela a conduit l’équipe à mettre en place une petite équipe de travail pour s’assurer que nous faisions une analyse complète de l’endroit où cela pourrait se produire”, explique-t-il.

    Normalement, Facebook ne stocke pas vos mots de passe. Il s’agit d’une mesure de sécurité de base : les entreprises doivent utiliser des algorithmes de hachage et de saut pour les transformer en une séquence aléatoire de lettres, de chiffres et de symboles.

    Facebook explique qu’il utilise la fonction de cryptage et une clé cryptographique “qui nous permet de remplacer de manière irréversible votre vrai mot de passe par un ensemble de caractères aléatoires. Ainsi, l’entreprise peut valider le login sans avoir besoin du mot de passe en texte clair.

      Telegram est tombé à cause d'une attaque DDoS

    Renfro dit que Facebook étudie “des changements d’infrastructure à long terme pour empêcher que cela ne se reproduise à l’avenir”. Et dans la déclaration, l’entreprise fait les suggestions suivantes :

  • changer votre mot de passe Facebook et Instagram ;
  • ne pas réutiliser les mots de passe dans différents services ;
  • utiliser des mots de passe forts et complexes pour tous vos comptes, avec l’aide de gestionnaires de mots de passe ;
  • permettre une authentification à deux facteurs ou utiliser une clé de sécurité.

    • Vous aimerez aussi

    A propos de l'auteur

    Ronan

    Le Breton de l'équipe ! Développeur back-end dans une startup française. Internet des objets, domotiques, mes sujets de prédilection sont vastes. #teamLinux sur PerlmOl

    Voir ses articles

    Laisser un commentaire