Pendant des années, Facebook a stocké en clair les mots de passe de centaines de millions d’utilisateurs

Mickaël Bazoge |

Les mots de passe de centaines de millions d’utilisateurs de Facebook, Facebook Lite et d’Instagram ont été stockés en clair et accessibles aux employés du réseau social. Cette faille de sécurité a été identifiée et résolue : les victimes vont être prévenues et elles pourront prendre les mesures qui s’imposent (= changer de mot de passe).

Selon le site KrebsOnSecurity, les mots de passe d’entre 200 à 600 millions d’utilisateurs1 ont été à la merci de plus de 20 000 employés de Facebook depuis… 2012. 2 000 ingénieurs ou développeurs ont effectué 9 milliards de requêtes internes pour des éléments contenus dans cette base de données laissée à l’air libre.

Cette nouvelle brèche pourrait attirer l’attention de la Commission européenne, car elle contreviendrait au RGPD. Facebook a prévenu le bureau de protection des données irlandais qui couvre les activités du réseau social en Europe. Le régulateur cherche maintenant à obtenir davantage de précisions. Le règlement européen exige que les entreprises stockent les mots de passe de manière sécurisée, et de notifier ses utilisateurs en cas de vulnérabilité sous les 72 heures.

Cette nouvelle faille de Facebook rejoint les autres brèches relevées ces derniers mois au sein du réseau social (lire ici ou ). Elle intervient à un moment où les régulateurs européens et américain scrutent de très près l’activité de l’entreprise de Mark Zuckerberg.

Le « bandit numérique », comme l’a ainsi appelé un comité britannique, a récemment dévoilé une stratégie visant à en faire le champion de la confidentialité des échanges. Bon courage.


  1. Des « centaines de millions » d’utilisateurs Facebook Lite (la version allégée du réseau social pour les coins du monde qui ne bénéficient pas d’un bon réseau), des « dizaines de millions » d’utilisateurs Facebook, et des « dizaines de milliers » d’utilisateurs d’Instagram. ↩︎


avatar ForzaDesmo | 

Si ceux qui sont sur FB avaient quelque chose à cacher cela se saurait depuis longtemps non ?! ?

avatar Clément34000 | 

@ForzaDesmo

Euhhh, j’ai rien à cacher mais je ne veux pas pour autant que ma vie privée s’étale dans le monde

avatar AirForceTwo | 

Pourtant, l'expérience nous a montré à plusieurs reprises qu'en mettant sa vie sur FaceBook, il ne s'agit que d'une question de temps avant qu'elle soit accessible à tous.
Ceux qui continuent malgré tout à l'y mettre sont ignorants ou acceptent que leurs données soient à terme publiques.

avatar eastsider | 

@ForzaDesmo

Pas mal ton raisonnement en plus d'être réaliste.

avatar corben | 

En fait vu toutes les conneries faites par Facebook et qu’on découvre progressivement, je vois que 2 possibilités:

- l’action prend claque après claque et l’entreprise finit par mettre la clé sous la porte

- soit l’administration ou le public les croulent sous les procès et les class actions et l’entreprise coule quand même mais les dirigeants iront à l’ombre

avatar armandgz123 | 

@corben

Pourquoi Facebook coulerait ?

avatar fabricepsb71 | 

@armandgz123

Arrêtez de rêver

avatar pim | 

@corben

Ou, dernière possibilité, après que tout le monde ait poussé des cries d’aufraies, ce sera « business has usual », et FaceBook va continuer à croître. On dit aussi : « Les chiens aboient, la caravane passe ! ».

avatar reborn | 

@pim

Grosse amende dans le pire des cas je pense ?‍♂️

avatar whocancatchme | 

@pim

Lol mais grave tant que ça fais du pognon il leur arrivera rien ! Surtout que les US sont derrière depuis le début, les mecs ont un point d’entrée dans tous les pays du monde, sur tous les citoyens, jamais les US ne vont laisser tomber un truc pareil !

avatar 0MiguelAnge0 | 

@whocancatchme

Tous les citoyens? Vraiment? Je pense ceux qui ont une cervelle et qui l’utilisent resteront immuniser de toutes ces saloperies.

avatar BitNic | 

@corben : « Les chiens aboient, la caravane passe et Jésus crie... "

avatar Grizzzly | 

@corben

Je vois plutot la 3eme possibilité. L’humanité reste dans le déni, le laisser faire, l’irresponsabilité, une petite amende de l’UE à droite à gauche pour se donner bonne conscience mais le monstre facebook continue de grossir jusqu’au jour où....

avatar corben | 

@Grizzzly

Je ne pensais pas qu’à l’UE mais surtout à la FTC et à ses équivalents dans le monde
Sans oublier que pour les class actions, plus il y a de monde à s’associer à ces actions, plus les peines sont lourdes

avatar occam | 

L’anagramme de Facebook s’impose, irrévocablement.

avatar Timmy | 

@occam

Fake bouse ?

avatar guigus31 | 

@occam

Cake Boof ?

avatar Quentin | 

Donc sur 20,000 employés qui avaient accès à ces données, personne ne l’avait remarqué ?

avatar xDave | 

@Nitneuqq

Sisi mais c’est tellement rigolo d’en profiter pour faire ce que l’on veut des gens

avatar bidibout (non vérifié) | 

Google se prend des amendes monstrueuses deux fois de suite, il serait temps que Facebook mette la main à la poche également.

avatar jerry75 | 

@bidibout

3 fois je crois

avatar malcolmZ07 | 

9 milliards de requête sur la db hahahahah espionner sa moitié(e) ?
En 2010-09 il était très facile de snifer les connexions à fbk (même réseau wifi) avec un petit utilitaire sur Firefox et prendre le contrôle de compte.
Ils n'ont jamais été très à cheval sur la sécurité.

avatar Hasgarn | 

??‍♂️

avatar popeye1 | 

Une gueule de c…… ce mec
La preuve, même Séguéla se paie sa tête dans un livre récent : "Le diable s’habille en GAFA : ( Google, Apple, Facebook, Amazon)".

Au dos du livre on peut lire :

[J’ai reçu un jour ce mail venu d’une bonne âme en mal de futur : « Comme je n’ai pas Facebook, j’essaie de me faire des amis en dehors du vrai Facebook, mais en appliquant les mêmes principes. Tous les jours je descends dans la rue et j’explique aux passants ce que j’ai mangé, comme je me sens, ce que j’ai fait la veille, ce que je suis en train de faire, ce que je vais faire demain. Je leur donne des photos de ma femme, du chien, des enfants, de moi en train de laver ma voiture, de ma femme en train de coudre. J’écoute aussi les conversations et je leur dis : « j’aime ». Et ça marche, il y déjà 4 personnes qui me suivent : 2 policiers, 1 psychiatre et un psychologue. »] Mdr

avatar Sorabji | 

@popeye1

Excellent !

avatar fredsoo | 

@popeye1

Génial ?? faut que je trouve ce bouquin! ?

avatar smog | 

Séguéla... Tu n'aurais pas du nous dire que c'était lui ;-)
Dans le genre, ce type ne vaut pas grand chose (tout le monde a dû oublier son "des fois, j'aimerais bien être pauvre... C'est pas simple tous les jours d'avoir de l'argent") et je passe les brillantes formules plus récentes.
Bon, fin du HS mais ça fait du bien ;-)

avatar Katsini | 

@popeye1

Je me suis régalé ????????

avatar eastsider | 

Jfkdkd

avatar Moonwalker | 

Good !

avatar popeye1 | 

Mise au point :

Google vient d’être condamnée pour la troisième fois en trois ans par la Commission européenne :

2,42 milliards d’euros en 2017 pour abus de position dominante.
4,3 milliards d’€ en 2018 pour ses pratiques avec les opérateurs.
1,49 milliards d’€ en 2019 pour pratiques abusives en matière de publicité en ligne.

avatar Kiros | 

@popeye1

Sauf que c’est pas pour protéger les utilisateurs mais une excuse pour se faire du pognon sur le dos du Gafa.

avatar corben | 

@popeye1

Exactement
Sans oublier qu’il y a aussi la FTC et les équivalents dans le monde

avatar Crunch Crunch | 

Youpiiiii…

avatar Malvik2 | 

Ça fait des années que Facebook et son patron se foutent littéralement du monde, un jour il faudra rendre des comptes, des vrais.

avatar imilcham | 

@Malvik2

trop vrai c'est un cancer ce site il a fait beaucoup de mal à beaucoup de monde et a eu des impacts incroyables sur la vie des gens et les sociétés

avatar Geolem | 

Bon... et bien Troy Hunt (haveibeenpwned.com) va devoir aller négocier en direct avec le bigboss de M$ Azure car sa DB va exploser si jamais il tombe sur un dump des mots de passes en provenance de Facebook?

avatar kitetrip | 

Qui a encore un compte Facebook...?

avatar AirForceTwo | 

En trottant, vous prenez vos désirs pour une réalité.
Car malheureusement, c'est plutôt "qui n'a pas un compte Facebook" (même inactif, puisqu'on ne peut pas supprimer définitivement son compte et on reste indéfiniment dans leur base de données).

avatar ForzaDesmo | 

@AirForceTwo

Ne serait-ce qu'un faux compte pour pouvoir accès aux autres comptes comme d'ailleurs une majorité de réseaux de ce type.

avatar powergeek | 

Ça n’étonne personne ces 9 milliards de requêtes faites par 2000 devs ? Ça fait quand même 4,5 millions de requêtes par dev ?

avatar Seedlers | 

Vous prenez Mark Zuckerberg pour un demeurer. Vous ne connaissez pas les closes de confidentialité et de non divulgation, ce sont les papiers que vous signez quand vous entrez dans une entreprise.

avatar ya2nick | 

@Seedlers

Pour un “demeuré”, non, pour un filou certainement.
Depuis quand les Hommes respectent leur parole ? Le fait de signer une clause de confidentialité ne signifie pas que vous allez la respecter.

avatar zarkossil | 

Et donc ça c’est la boîte qui a déclaré récemment vouloir devenir un champion de la vie privée ? ?

avatar IPICH | 

"les victimes vont être prévenues et elles pourront prendre les mesures qui s’imposent (= changer de mot de passe)."

Je dirais plutôt (=quitter facebook)

avatar jeffbig2 | 

Surtout que pour l'utilisateur lambda, le mot de passe utilisé avec son email comme nom d'utilisateur est souvent (tellement souvent) le même que celui qu'il utilise pour son email. Si son email est aussi son identifiant iCloud alors jackpot !

avatar popeye1 | 

Si je résume :
Surtout que pour l'utilisateur lambda, le mot de passe utilisé avec son email...est souvent...le même que celui qu'il utilise pour son email.
ça me parait évident

avatar Paquito06 | 

Plus c’est gros plus ca passe. En 10 ans, y a pas un ingénieur (ou un mec lamba ?) qui s’est dit “euh, les gars, masquez cette liste de mdp que je ne saurais voir?”. C’est plus de l’amateurisme là, on apprend ça en 1ere annee de n’importe quelle ecole. Quand je dis que Mark Z. ne gere plus rien le pauvre... il laisse ses doigts en evidence pour se faire taper dessus.

avatar Un Type Vrai | 

Dans la fac, lors de la création des comptes aux étudiants, nous avons été convié à un cours sur comment choisir un mdp, l'importance de ne pas le divilguer etc.
Ce cours s'est terminé par : vous avez tous un compte avec initiale prénom.nom (eventuellement -1,-2 etc.) depuis ce matin et le mot de passe est formule1 pour tout le monde

1er sorti de l'amphi, 1er pirate...

Pages

CONNEXION UTILISATEUR