MAROC
22/03/2019 10h:30 CET

Facebook reconnaît que des millions de mots de passe de ses utilisateurs étaient lisibles par ses employés

Nouvelle faille de sécurité sur le réseau social.

NurPhoto via Getty Images

FAILLE DE SÉCURITÉ - Facebook a laissé des centaines de millions de mots de passe de ses utilisateurs lisibles par ses employés pendant des années, a reconnu jeudi 21 mars le groupe de technologie américain après qu’un chercheur en sécurité a révélé cette faille en ligne.

“Nous avons résolu le problème et, par mesure de précaution, nous allons prévenir tous ceux dont les mots de passe ont été stockés sous cette forme”, a souligné Facebook dans un communiqué, précisant que normalement, ses systèmes auraient dû les crypter.

“Ce matin, nous avons annoncé un problème interne où nous avons stocké des mots de passe incorrectement. Nous avons trouvé zéro preuve que toute personne en dehors de Facebook avait accès à ces mots de passe et zéro preuve d’abus interne.”

“Nous estimons que nous informerons des centaines de millions d’utilisateurs de Facebook Lite (une version ‘allégée’ de Facebook pour les régions où la connectivité est basse), des dizaines de millions d’autres utilisateurs de Facebook et des dizaines de milliers d’utilisateurs d’Instagram”, précise dans le communiqué Pedro Canahuati, vice-président ingénierie, sécurité et confidentialité chez Facebook.

En stockant les mots de passe dans un texte lisible, Facebook a violé les pratiques fondamentales en matière de sécurité informatique. Ceux-ci appellent les organisations et les sites Web à enregistrer les mots de passe sous une forme cryptée rendant pratiquement impossible la récupération du texte original.

“Soyons clairs: ces mots de passe n’ont jamais été visibles par quiconque en dehors de Facebook et nous n’avons rien trouvé à ce jour indiquant que quiconque en interne en a fait un usage abusif ou y a accédé indûment”, a nuancé Facebook, déjà dans la tourmente au sujet de sa gestion des données personnelles, après le scandale Cambridge Analytica en 2018.

Le réseau social a déclaré qu’il n’y avait aucune preuve que ses employés aient abusé de l’accès à ces données. Mais des milliers d’employés auraient pu les fouiller. La société a déclaré que les mots de passe étaient stockés sur des serveurs internes à la société, où aucun tiers ne pouvait y accéder.

Sur Twitter, Facebook a déclaré que par mesure de précaution, les internautes peuvent changer de mot de passe s’ils le souhaitent: 

L’incident révèle une nouvelle faille importante dans une entreprise qui affirme être un gardien responsable des données personnelles de ses 2,2 milliards d’utilisateurs dans le monde.

Le blog sur la sécurité KrebsOnSecurity a révélé que Facebook aurait laissé les mots de passe de quelque 600 millions d’utilisateurs de Facebook vulnérables. 

Facebook a indiqué avoir découvert le problème en janvier. Mais le chercheur en sécurité Brian Krebs a révélé que dans certains cas, les mots de passe étaient stockés en texte clair depuis 2012.