Après l’affaire Cambridge Analytica et le partage d’informations personnelles révélé fin 2018, Facebook est à nouveau au cœur d’un scandale. Depuis 2012, l’entreprise de Mark Zuckerberg stockait des centaines de millions de mots de passe en clair, les rendant ainsi accessibles à ses employés. Avec cette énième grosse bévue Facebook risque de se créer de sérieux ennuis, notamment avec l’Union Européenne et son Règlement général sur la protection des données (RGPD).
20.000 employés pouvaient avoir accès aux mots de passe
Facebook n’en finit plus avec les scandales. Après l’affaire Cambridge Analytica et le partage des informations personnelles l’année dernière, l’entreprise de Mark Zuckerberg est à nouveau au cœur d’une polémique. D’après KrebsOnSecurity, qui a obtenu des informations d’une source anonyme interne à Facebook, le groupe stockait, depuis 2012, des millions de mots de passe en clair. Ce qui signifie que Facebook conservait les mots de passe sans les chiffrer. Du coup, ses 20.000 employés pouvaient y avoir facilement accès.
Facebook, qui reconnait son erreur monumentale, explique d’ailleurs que les informations passent normalement dans une moulinette mathématique, qui les stocke sous une forme chiffrée grâce à l’application de méthodes de hachage (hash) cryptographique. Cette technique consiste à insérer des caractères aléatoires aux mots de passe avant d’appliquer la fonction de salage à sens unique. L’opération ne peut donc pas être inversée. Facebook connait bien sûr cette méthode de sécurité, mais il a choisi de laisser au clair des millions de mots de passe.
« Ils n’ont jamais été visibles par quiconque en dehors de Facebook »
Selon l’entreprise américaine, la négligence a surtout concerné Facebook Lite, une version plus allégée du réseau social pour les régions où la connexion est moins bonne. D’après les estimations fournies par le groupe lui-même, le nombre d’utilisateurs touché est de « plusieurs centaines de millions » pour Facebook Lite, des « dizaines de millions » pour Facebook et des « dizaines de milliers » pour Instagram. Il assure toutefois qu’aucune utilisation malveillante de ces mots de passe n’a été détectée. « Ils n’ont jamais été visibles par quiconque en dehors de Facebook. Nous n’avons trouvé aucune preuve indiquant un abus ou accès indu par quiconque en interne » jure le réseau social. Facebook a aussi indiqué que le problème a été maintenant résolu. Sauf que les logs auraient révélé qu’au moins 2 000 ingénieurs et développeurs ont effectué des recherches sur des mots de passe en clair. Cela donne à réfléchir.
Reste à savoir si cette nouvelle violation des règles de protection des données personnelles ne va pas être châtiée. Facebook pourrait être l’objet d’une enquête et d’une procédure du Règlement général sur la protection des données (RGPD) de l’Union Européenne.