L’un des plus gros acteurs de la Silicon Valley vient de reconnaître une erreur majeure de sécurité informatique. Dans un communiqué diffusé jeudi 21 mars, le réseau social Facebook annonce que les mots de passe de centaines de millions d’utilisateurs du réseau social ont été conservés de manière non sécurisée sur les serveurs de l’entreprise. « Nous nous sommes rendu compte que certains mots de passe de nos utilisateurs étaient stockés de manière lisible dans nos serveurs internes », explique Facebook, qui admet avoir fait cette découverte en janvier 2019.

Concrètement, cela signifie que les mots de passe des utilisateurs de Facebook concernés n’étaient pas protégés par les méthodes habituelles de chiffrement. N’importe quel employé de Facebook disposant d’un accès à ces serveurs était donc, en théorie, capable de lire le mot de passe associé au nom d’un utilisateur de Facebook. Pour autant, Facebook indique qu’au cours de son enquête sur la question, « aucune preuve d’abus » par des employés de Facebook n’avait été détectée « pour le moment ». Aucun accès à ces mots de passe n’était par ailleurs possible depuis l’extérieur de l’entreprise, précise le réseau social.

L’entreprise explique qu’elle va prévenir directement les personnes concernées. Facebook estime devoir avertir « des centaines de millions d’utilisateurs de Facebook Lite [une application présentant une version allégée du réseau social, prévue pour les régions disposant d’un faible réseau téléphonique], des dizaines de millions d’utilisateurs de Facebook, et des dizaines de milliers d’utilisateurs d’Instagram ».

Entre 200 et 600 millions de personnes

En théorie, un service en ligne ne doit jamais enregistrer tels quels les mots de passe de ses utilisateurs, notamment pour éviter que des pirates qui entreraient dans ses systèmes ne les dérobent. Normalement, à chaque fois qu’un utilisateur renseigne pour la première fois son mot de passe dans un service en ligne, celui-ci est transformé – chiffré – en une suite de caractères illisibles. Il n’est pas possible, à partir de ces caractères, de retrouver le mot de passe. Mais à chaque fois que l’internaute l’entre à nouveau pour s’identifier, le même mécanisme cryptographique intervient et le transforme de la même manière qu’initialement, ce qui permet au service en ligne de vérifier qu’il s’agit bien du bon mot de passe. Facebook n’a pas mis en œuvre ce mécanisme de chiffrement, stockant le mot de passe tel quel dans ses systèmes.

Le réseau social conclut son communiqué en conseillant au plus grand nombre de changer son mot de passe. Les utilisateurs souhaitant le faire de manière préventive – surtout s’ils ne l’ont pas fait depuis longtemps – peuvent le faire à cette adresse dans les paramètres de Facebook (ou ici sur Instagram). A ce stade, cependant, l’utilité de changer son mot de passe n’est pas avérée. Mais les précautions élémentaires en la matière, et en premier lieu l’utilisation d’un gestionnaire de mot de passe, sont encore plus d’actualité.

Ces précisions interviennent après la publication d’une enquête sur le sujet par le site spécialisé en sécurité informatique Krebs on Security. Le journaliste Brian Krebs, auteur de l’article, estime, après avoir échangé sur ce dossier avec des sources internes à Facebook, qu’entre 200 et 600 millions d’utilisateurs de Facebook sont au total concernés par ce stockage en clair de leur mot de passe. Certains d’entre eux étaient accessibles depuis 2012 et, selon Brian Krebs, ils ont pu être lus et trouvés par près de 20 000 employés de Facebook (l’entreprise comptait 35 000 salariés en décembre 2018).

Si l’on s’en tient à la présentation que fait Facebook de l’incident, les conséquences sont très minimes pour les utilisateurs. Cependant, ce manquement aux règles basiques de sécurité – l’équivalent pour un constructeur automobile d’oublier d’activer les airbags pendant près de sept ans – va encore fragiliser Facebook, qui peinait déjà à convaincre qu’il protégeait suffisamment les données personnelles de ses utilisateurs.

Comment choisir un bon mot de passe
Durée : 04:02