Sans aucune forme de chiffrement, Facebook annonce que les mots de passe de centaines de millions d'utilisateurs ont été stockés de manière non sécurisée sur ses serveurs internes. Une boulette qui a pu les rendre visibles pour des employés ayant accès aux serveurs.

C'est un point sur lequel le groupe de Mark Zuckerberg insiste, ces mots de passe en clair " n'ont jamais été visibles par quiconque en dehors de Facebook (ndlr : pas d'accès possible depuis l'extérieur) " et d'ajouter qu'à ce jour, " nous n'avons trouvé aucune preuve indiquant un abus ou accès indu par quiconque en interne. "

Reste que c'est une erreur pour le moins étonnante qui va à l'encontre de mesures élémentaires de sécurité. Le problème a été détecté en janvier lors d'un contrôle de sécurité de routine, puis corrigé.

facebook-surprise

Bien évidemment, les mots de passe stockés sont normalement chiffrés avec l'application de méthodes de hachage (hash) cryptographique et salage. Le salage consiste à insérer des caractères aléatoires au mot de passe avant d'appliquer la fonction de hachage à sens unique. C'est une protection supplémentaire contre des attaques de type dictionnaire.

Si tout a été corrigé, l'origine du problème n'est pas explicitée pour autant. Selon Facebook, le problème a affecté " des centaines de millions d'utilisateurs de Facebook Lite (ndlr : version allégée du réseau social), des dizaines de millions d'utilisateurs de Facebook et des dizaines de millions d'utilisateurs d'Instagram. " Ils vont être prévenus.

La portée de l'incident n'est a priori pas dramatique, mais c'est un énième mauvais point pour l'image de Facebook.

D'après KrebsOnSecurity, qui a obtenu de informations d'une source anonyme interne chez Facebook, entre 200 et 600 millions d'utilisateurs sont concernés par ces mots de passe stockés en clair. Ils auraient été consultables par plus de 20 000 employés de Facebook.

Le problème pourrait remonter à 2012. Les logs auraient révélé que quelque 2 000 ingénieurs et développeurs ont effectué des recherches de données contenant des mots de passe en clair.