Facebook: au moins 200 millions de mots de passe stockés sans protection

Facebook semble condamné à présenter des excuses. L'entreprise américaine a admis ce 21 mars avoir stocké des centaines de millions de mots de passe de ses utilisateurs "en clair". Ces mêmes combinaisons pouvaient ainsi être recherchées et lues par des "milliers" d'employés du groupe, note le chercheur en sécurité Brian Krebs. L'un des premiers cas repérés remonte à 2012.

D'après une source interne de l'entreprise, entre 200 et 600 millions d'utilisateurs de Facebook étaient concernés. Par ailleurs, 9 millions de requêtes en interne, pour accéder à ces mêmes mots de passe, auraient été effectuées par 2000 ingénieurs ou développeurs.

Les utilisateurs bientôt informés

Dans un communiqué judicieusement intitulé "Préserver la sécurité des mots de passe", Facebook admet avoir fait preuve d'un manque de vigilance. "Dans le cadre d'un examen de sécurité de routine effectué en janvier, nous avons constaté que certains mots de passe d'utilisateurs étaient stockés en un format lisible, dans nos systèmes de stockage de données internes", fait savoir l'entreprise.

"Cela a attiré notre attention, nos systèmes étant conçus pour masquer les mots de passe en utilisant des techniques qui les rendent illisibles", souligne Facebook. Avant d'ajouter que des "centaines de millions d'utilisateurs de Facebook Lite, des dizaines de millions d'autres utilisateurs de Facebook et ds dizaines de milliers d'utilisateurs d'Instagram" (qui appartient à Facebook) dont les identifiants ont été stockés sans protection seront informées sous peu. Le groupe précise par ailleurs qu'aucune preuve d'une utilisation malveillante de ces mots de passe n'a à ce jour été constatée. 

Un mot de passe à changer

Facebook le maintient: "aucun mot de passe n'a été exposé" aux yeux de personnes externes à l'entreprise. Le groupe invite néanmoins les plus méfiants à modifier le leur, voire à opter pour l'authentification à deux facteurs, qui renforce la sécurité d'un compte.

L'annonce d'un tel incident ne manque pas d'ironie. Elle tombe même à point nommé. Début mars, Mark Zuckerberg, le jeune PDG de l'entreprise, a annoncé œuvrer en faveur d'un Facebook plus respectueux de la vie privée de ses utilisateurs. Pour l'occasion, il avait reconnu que son réseau n'avait pas une "bonne réputation" quant à sa "capacité de construire des services protecteurs de la vie privée".

Quelques jours plus tard, une enquête pénale était lancée aux Etats-Unis. En cause, le partage de données personnelles d'utilisateurs du réseau avec d'autres entreprises, dont Netflix, Apple, Microsoft ou Spotify. Plus de 150 entreprises auraient en tout bénéficié de tels partenariats. Toute la question est désormais de savoir si ce partage de données s'est fait de façon transparente pour les utilisateurs.