Une nouvelle journée, et un nouveau scandale Facebook. Jeudi, l’entreprise a reconnu avoir fait une erreur monumentale, en stockant pendant des années des « centaines de millions » de mots de passe d’utilisateurs en clair – sous une forme non chiffrée – sur ses serveurs internes. Et selon le journaliste expert en sécurité Brian Kreps, qui a révélé l’affaire, affirme que près de 20.000 employés de Facebook avaient accès aux mots de passe. L’entreprise assure qu’aucun usage malveillant n’en a été fait. Les personnes concernées vont être prévenues par email, et il leur sera recommandé de changer leur mot de passe.
Le dernier scandale en date vient d’être dévoilé lors d’un communiqué officiel rendu public par le réseau social ce jeudi 21 mars 2019. En effet, Facebook a indiqué qu’une investigation interne menée en janvier 2019 a révélé qu’une erreur au sein du système a compromis la sécurité de plusieurs millions de comptes.
Cette erreur aurait stocké entre 200 millions et 600 millions de comptes Facebook, Facebook Lite et Instagram dans les bases de données de Facebook sans protection suffisante et ils étaient facilement accessibles pour les employés du groupe.
Facebook a annoncé que cette faille de sécurité a été corrigée depuis janvier dernier mais cette nouvelle révélation va encore fragiliser le réseau social le plus utilisé au monde avec 2.2 milliards de comptes actifs.
Le problème « réglé »
Facebook explique que les mots de passe sont normalement passés dans une moulinette mathématique, qui stocke cette information cruciale sous une forme chiffrée (« cyptée » en franglais). Par exemple, le mot de passe Mangez + Des + P0mmes devient 1C0A8D99F3BCE32A477AAB1E8003CA59497FBFDB0EFCFB56CDFDD865140B4B19. Si des pirates parviennent à dérober ce dernier, il leur faut beaucoup plus de temps pour retrouver le mot de passe originel car l’opération ne peut pas être inversée – des hackers peuvent simplement tenter d’appliquer la fonction mathématique sur des mots de passe courants et comparer le résultat.
Facebook n’explique pas l’origine de sa bévue mais assure que le problème « a été réglé ». Reste à voir si ce nouveau raté enfreint le règlement européen sur les données (RGPD). Auquel cas, une enquête pourrait être lancée contre Facebook. Une de plus, après le scandale Cambridge Analytica et le partenariat de partage d’informations personnelles révélé fin 2018. Mais c’est juré, Facebook va revoir de fond en comble ses services et les reconstruire autour de la vie privée. Il va visiblement falloir repartir de zéro.