À la surprise de personne, Facebook a révélé le fait qu’elle avait stocké des centaines de millions de mots de passe d’utilisateurs en texte brut, qui étaient accessibles à 20 000 employés de l’entreprise.
Dans un article de blog, Facebook a annoncé que lors d’un examen de sécurité de routine effectué en janvier 2019, elle a découvert que des centaines de millions de mots de passe d’utilisateurs étaient stockés en texte brut dans l’un de leurs systèmes de stockage de données internes. Les mots de passe étaient accessibles à environ 20 000 employés de Facebook, bien que le géant social prétende qu’ils n’étaient pas accessibles à des personnes de l’extérieur.
« Pour être clair, ces mots de passe n’ont jamais été visibles pour personne à l’extérieur de Facebook et nous n’avons trouvé à ce jour aucune preuve que quelqu’un en a abusé en interne ou y a accédé de façon inappropriée. Nous estimons que nous devons informer des centaines de millions d’utilisateurs de Facebook Lite, des dizaines de millions d’autres utilisateurs de Facebook et des dizaines de milliers d’utilisateurs d’Instagram », a déclaré Pedro Canahuati, vice-président de l’ingénierie, de la sécurité et de la confidentialité.
Facebook a résolu le problème et a déclaré qu’elle commencerait à informer jusqu’à 600 millions d’utilisateurs de Facebook Lite, Facebook et Instagram dont les mots de passe ont été exposés aux employés de l’entreprise, bien que le géant social continue de prétendre qu’aucun mot de passe n’a été exposé à quiconque en dehors de Facebook.
Les mots de passe n’ont pas été exposés à des tiers
Cependant, comme on peut s’y attendre, Facebook avertit les utilisateurs de changer leurs mots de passe Facebook et Instagram dès que possible, surtout s’ils réutilisent ces mots de passe pour d’autres comptes. Lorsque vous changez votre mot de passe, assurez-vous d’en choisir un complexe et d’activer une authentification à deux facteurs dans la mesure du possible. Facebook a déclaré qu’il prend des mesures pour éviter que des atteintes analogues à la sécurité ne se reproduisent à l’avenir.
Puisque les méthodes d’authentification à deux facteurs basées sur les SMS sont susceptibles d’être piratées car les pirates peuvent très facilement cloner votre numéro de smartphone pour recevoir ces codes de sécurité envoyés par Facebook, il est donc préférable d’utiliser les codes de sécurité d’applications d’authentification tierces. Facebook prend également en charge les clés de sécurité matérielles pour protéger vos comptes d’un simple effleurement.
Reste à savoir si cette erreur entraînera un contrôle réglementaire accru sur Facebook. La société a souffert de nombreux problèmes de sécurité au cours des dernières années, ce qui a poussé les politiciens et les autres à demander des contrôles plus stricts. Dans le même temps, le fait de stocker les mots de passe en texte brut pourrait bien coûter cher à Facebook ne se conformant pas aux lois européennes de RGPD.
