Facebook semble ne pas pouvoir se passer d’une énorme lacune en matière de sécurité, et ne fait pas exception aujourd’hui : le réseau social a stocké “des centaines de millions” de mots de passe en texte clair, auxquels 20 000 employés pourraient accéder en interne. Cela touche même les utilisateurs de Facebook Lite et Instagram. L’entreprise affirme qu’il n’y a pas eu de fuite.
Dans une déclaration, la société déclare : “Nous estimons que nous allons informer des centaines de millions d’utilisateurs de Facebook Lite, des dizaines de millions d’autres utilisateurs de Facebook et des dizaines de milliers d’utilisateurs d’Instagram.
Une source sur Facebook indique au chercheur en sécurité Brian Krebs que le problème a touché entre 200 et 600 millions d’utilisateurs, dans certains cas depuis 2012. Les mots de passe en texte clair seraient consultables en interne par plus de 20 000 employés.
Mais ce n’est pas tout : environ 2 000 ingénieurs ou développeurs ont effectué quelque 9 millions de requêtes internes qui ont permis de retrouver les mots de passe des utilisateurs en texte clair.
Facebook affirme que ces mots de passe n’étaient visibles qu’au sein de l’entreprise, “et nous n’avons trouvé aucune preuve jusqu’au moment où quelqu’un en a abusé en interne, ou a obtenu un accès abusif.
Facebook a découvert le problème des mots de passe en janvier
Scott Renfro, un ingénieur logiciel sur Facebook, explique à KrebsOnSecurity que le problème a été détecté par des ingénieurs en sécurité en janvier 2019. “Cela a conduit l’équipe à mettre en place une petite équipe de travail pour s’assurer que nous faisions une analyse complète de l’endroit où cela pourrait se produire”, explique-t-il.
Normalement, Facebook ne stocke pas vos mots de passe. Il s’agit d’une mesure de sécurité de base : les entreprises doivent utiliser des algorithmes de hachage et de saut pour les transformer en une séquence aléatoire de lettres, de chiffres et de symboles.
Facebook explique qu’il utilise la fonction de cryptage et une clé cryptographique “qui nous permet de remplacer de manière irréversible votre vrai mot de passe par un ensemble de caractères aléatoires. Ainsi, l’entreprise peut valider le login sans avoir besoin du mot de passe en texte clair.
Renfro dit que Facebook étudie “des changements d’infrastructure à long terme pour empêcher que cela ne se reproduise à l’avenir”. Et dans la déclaration, l’entreprise fait les suggestions suivantes :
