Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Facebook a stocké en clair des mots de passe de « centaines de millions d'utilisateurs »

Et des dizaines de milliers pour Instagram
Internet 5 min
Facebook a stocké en clair des mots de passe de « centaines de millions d'utilisateurs »
Crédits : Diy13/iStock

Facebook avait sur ses serveurs les mots de passe en clair de centaines de millions d'utilisateurs. Le réseau social se veut rassurant : ils n'étaient pas accessibles de l'extérieur. Selon le spécialiste Brian Krebs, plus de 20 000 employés de Facebook pouvaient tout de même y accéder. 

Depuis des années, les failles de sécurité sont monnaie courante, avec des causes et conséquences plus ou moins graves selon les cas. Facebook vient de définir un nouveau record : « dans le cadre d'un examen de sécurité de routine en janvier, nous avons constaté que certains mots de passe d'utilisateurs étaient enregistrés de manière lisible dans nos serveurs internes », explique la société. C'est évidemment contraire aux règles de sécurité. 

Hasard ou non, ce communiqué officiel a été publié à 16h28, soit 11 minutes seulement après un billet du spécialiste en sécurité Brian Krebs où il dévoilait justement cette sombre histoire. Si la version officielle reste très sommaire, le chercheur donne plus de détails.

Les utilisateurs de Facebook et Instagram touchés

« Ne jamais stocker le mot de passe en clair » est une mesure de sécurité élémentaire selon la CNIL : « Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé ».

Le réseau social tente de limiter la casse : les mots de passe n'étaient pas accessibles par des personnes extérieures à Facebook. Il affirme également n'avoir à ce jour aucune preuve que des personnes internes auraient abusé ou utilisé à mauvais escient ces informations. Une enquête est toujours en cours. 

Bien évidemment, ce défaut de sécurisation a été corrigé et les utilisateurs concernés vont être contactés. Aucune campagne de réinitialisation des mots de passe n'est prévue pour l'instant. L'ampleur des dégâts a par contre de quoi laisser perplexe : « Nous estimons que nous allons notifier des centaines de millions d'utilisateurs de Facebook Lite, des dizaines de millions d'autres versions de Facebook et des dizaines de milliers d'utilisateurs Instagram ».

La société de Mark Zuckerberg en a profité pour examiner la manière dont sont stockées d'autres données, notamment les jetons d'identification, en procédant à des correctifs lorsque cela était nécessaire. Nous n'avons pas plus de détails sur ce point. 

Dans tous les cas, Facebook ne précise pas comment – et depuis quand – des centaines de millions de mots de passe en clair se sont retrouvés sur ses serveurs.

20 000 employés Facebook auraient eu accès aux mots de passe 

Sur son blog, Brian Krebs donne bien plus de détails. Tout d'abord, les premiers mots de passe enregistrés en clair remonteraient à 2012 et 200 à 600 millions d'utilisateurs seraient concernés. Plus de 20 000 employés de Facebook auraient eu la possibilité d'y accéder.

Selon une source interne participant à l'enquête, les journaux indiqueraient qu'environ 2 000 ingénieurs ou développeurs auraient effectué près de neuf millions de requêtes sur des jeux de données contenant les mots de passe en clair. 

Dans une interview accordée à Brian Krebs, Scott Renfro, ingénieur logiciel chez Facebook, explique que sa société ne souhaite pour l'instant pas communiquer sur des chiffres précis. Il confirme qu'une campagne de réinitialisation des mots de passe n'est pas à l'ordre du jour, car ils ont été enregistrés « par inadvertance » et qu'il n'y a « aucun risque réel ». C'est probablement aussi une manière de limiter la panique chez les utilisateurs et de tenter de minimiser ce manque flagrant de sécurité. Dans tous les cas, vous pouvez toujours le faire de manière préventive. 

Quand Facebook assure la promotion du chiffrement et de la sécurité

Dans son billet de blog, Facebook rappelle ensuite qu'il connait parfaitement les pratiques élémentaires de sécurité. Les mots de passe sont normalement hachés, salés et la fonction de dérivation de clé scrypt est utilisée. Le spécialiste Stéphane Bortzmeyer revient sur le fonctionnement de cette dernière dans ce billet de blog.

Comme pour faire tenter d'oublier qu'il a enregistré des millions de mots de passe en clair dans ses bases de données, Facebook détaille les différentes couches de sécurités mises en place : détection d'activité suspecte, envoi d'alerte en cas de connexions non reconnues, vérification des identifiants ayant fuité sur Internet pour trouver des correspondances avec des comptes et enfin la double authentification (SMS, application, clés U2F). Si ce n'est pas déjà fait, c'est surement une bonne idée d'activer cette dernière fonctionnalité.

Pour rappel, nous avons publié il y a quelque temps un guide sur le choix d'un bon mot de passe et d'un gestionnaire, avec des tests de plusieurs d'entre eux :

Un cas pas isolé, mais d'une ampleur inédite

D'autres sociétés ont connu des problèmes similaires, notamment Twitter et GitHub au cours de l'année dernière. Dans les deux cas, les mots de passe en clair étaient enregistrés par mégarde dans les logs des serveurs à cause d'un « bug ». Mais aucun des deux n'arrive à la cheville de Facebook, ni en quantité (plusieurs centaines de millions) ni en durée (depuis 2012). 

Par contre, comme nous avons pu le voir avec les Échos en avril dernier (corrigé depuis) certains stockent encore par défaut des mots de passe en clair dans leur base de données. Si vous êtes confrontés à ce genre de mauvaise pratique – par exemple si le mot de passe est renvoyé par email en cas d'oubli – nous avons mis en place une adresse email dédiée pour que vous puissiez nous en informer :

info@motdepasseenclair.fr
70 commentaires
Avatar de skankhunt42 Abonné
Avatar de skankhunt42 skankhunt42 - 22/03/19 à 07:58:42

Ce qui est fou c'est qu'il y à aucune moulinette qui vérifie chaque jours sur les mots de passe dans la bdd ne "pings" pas avec des mots commun piochés dans un simple dictionnaire. Après je suppose que pouvoir récupérer les mot de passe doivent être très restreint au niveau employés. Par contre quand je vois le "caca" ( j'ai pas dis que c'est mieux ailleurs ) qu'est facebook sur plein de choses, j'ai du mal à comprendre ce que font actuellement les 45.000 employés qui bossent pour eux.

Avatar de ErGo_404 Abonné
Avatar de ErGo_404ErGo_404- 22/03/19 à 08:02:55

Ce que tu dis ne m'étonne pas, ça ne me viendrait pas à l'idée de stocker des mots de passe en clair et donc ça ne me viendrait pas à l'idée de vérifier régulièrement qu'ils le sont.
Je ne comprends même pas comment c'est possible qu'ils ne se soient pas rendu compte de ça avant, en travaillant sur leur code ...

Avatar de sephirostoy Abonné
Avatar de sephirostoysephirostoy- 22/03/19 à 08:12:53

Avec un bon salaire, les gens sont prêt à faire n'importe quoi.

Avatar de skankhunt42 Abonné
Avatar de skankhunt42 skankhunt42 - 22/03/19 à 08:17:18

ErGo_404 a écrit :

Ce que tu dis ne m'étonne pas, ça ne me viendrait pas à l'idée de stocker des mots de passe en clair et donc ça ne me viendrait pas à l'idée de vérifier régulièrement qu'ils le sont. Je ne comprends même pas comment c'est possible qu'ils ne se soient pas rendu compte de ça avant, en travaillant sur leur code ... 

 Je comprend tout à fait comment ce genre de chose peut apparaitre. Quand tu développe un système, parfois tu stocke les mot de passe en clair dans une table ou une cellule pour faire des tests. Ensuite tu hésite à virer le truc ou non et un jours quelqu'un coche la mauvaise case ou écrit le mauvaise bout de code et ça ce réactive.

C'est surement la crème qui dois bosser sur leur bdd, après ça reste quand même bien chiant à manipuler et plus t'a d'utilisateur plus ça deviens critique. Je suppose que la plupart des mecs qui doivent toucher à la bdd ça ce fait surement uniquement par du code avec de grosse restriction. A ce niveau je suis même pas sur qu'il y à une interface graphique. Si t'a que 10% des personnes touchées et que c'est arrivé à une période bien précise, même avec un accès complet c'est un coup de bol si tu vois un passe défiler en consultant la bdd.

Pour résumer, c'est le genre de bug spécifique ou si tu ne le cherche pas tu est quasiment sur de ne jamais le trouver et ou peut de gens ont la possibilité de faire une recherche.

Après il est possible que ça sois un bug volontairement introduit pour récupérer un paquet d'information pour profiler les gens encore plus précisément, ou alors tout simplement les revendre.

Avatar de ErGo_404 Abonné
Avatar de ErGo_404ErGo_404- 22/03/19 à 08:22:44

Mais quand le code qui vérifie le mot de passe est exécuté, on pourrait imaginer que ça soit le même code pour tout le monde et donc, qu'il échoue sur les mots de passe en clair (si les autres sont hashés).
Mais j'imagine que leur base de code est un poil plus complexe et qu'ils gèrent plusieurs formes de hash selon les époques et donc qu'ils gèrent aussi les versions non hashées.

Avatar de ManusDei Abonné
Avatar de ManusDeiManusDei- 22/03/19 à 08:29:19

La sécurité n'est pas leur business, donc personnellement ça ne me choque pas qu'ils n'y aient pas fait attention pendant un temps. Il faut régulièrement se battre pour tester que les trucs "pas possibles" ne sont effectivement pas possibles, et ça prend du temps et de l'argent.

Avatar de yvan Abonné
Avatar de yvanyvan- 22/03/19 à 08:38:36

Comme quoi ils ont raison de faire un audit :transpi:

Maintenant quand tu vois que leur stack technique et leurs pratiques sert de référence à tous les branleurs fans d'agile de conférences devops et autres architectes branchés qui se la pètent à expliquer la vie à l'industrie tu te dis que la maintenance logicielle a de beaux jours devant elle :mdr2:

Eux et netflix :roll:

Édité par yvan le 22/03/2019 à 08:40
Avatar de yvan Abonné
Avatar de yvanyvan- 22/03/19 à 08:41:08

Non, l'ensemble des développeurs étant passé sur un code qui stocke en clair des infos d'identifications sans avoir averti devraient prendre la porte immédiatement.
Il y a un minimum tout de même :cartonrouge:

Et une boite web par définition est aussi dans le business de la sécurité, de gré ou de force.

Édité par yvan le 22/03/2019 à 08:41
Avatar de anagrys Abonné
Avatar de anagrysanagrys- 22/03/19 à 08:42:34

je crois que la référence côté stack technique c'est plutôt Amazon. Et effectivement Netflix pour l'agile, même s'ils sont très, très loin dans le domaine.
(et d'ailleurs, ils tournent sur Amazon...)

Avatar de momal INpactien
Avatar de momalmomal- 22/03/19 à 08:44:12

skankhunt42 a écrit :

Je comprend tout à fait comment ce genre de chose peut apparaitre. Quand tu développe un système, parfois tu stocke les mot de passe en clair dans une table ou une cellule pour faire des tests. Ensuite tu hésite à virer le truc ou non et un jours quelqu'un coche la mauvaise case ou écrit le mauvaise bout de code et ça ce réactive.

C'est surement la crème qui dois bosser sur leur bdd, après ça reste quand même bien chiant à manipuler et plus t'a d'utilisateur plus ça deviens critique. Je suppose que la plupart des mecs qui doivent toucher à la bdd ça ce fait surement uniquement par du code avec de grosse restriction. A ce niveau je suis même pas sur qu'il y à une interface graphique. Si t'a que 10% des personnes touchées et que c'est arrivé à une période bien précise, même avec un accès complet c'est un coup de bol si tu vois un passe défiler en consultant la bdd.

Pour résumer, c'est le genre de bug spécifique ou si tu ne le cherche pas tu est quasiment sur de ne jamais le trouver et ou peut de gens ont la possibilité de faire une recherche.

Après il est possible que ça sois un bug volontairement introduit pour récupérer un paquet d'information pour profiler les gens encore plus précisément, ou alors tout simplement les revendre.

Mouais, enfin si le but c'est de controler la bonne saisie d'un password, une simple fonction de crc32 et stockage du resultat suffit pour qu'il y ait un minimum de securité, du moins pour eviter de garder le pwd sous le coude.
c'est le b a-ba d'une connexion, apres on colle des fonctions plus complexes, du sel, etc.
A la limite dans la premiere version de facebook, sur le campus, on aurait pu imaginer que les mecs qui ont codé ca rapidos puissent laisser des trous de secu comme ca. Mais a partir du moment ou c'est devenu une entreprise, il est evident que tout a ete reecrit propre et je ne comprends pas comment les nouveaux devs aient pu laisser passer ca.

Il n'est plus possible de commenter cette actualité.
Page 1 / 7
  • Introduction
  • Les utilisateurs de Facebook et Instagram touchés
  • 20 000 employés Facebook auraient eu accès aux mots de passe 
  • Quand Facebook assure la promotion du chiffrement et de la sécurité
  • Un cas pas isolé, mais d'une ampleur inédite
S'abonner à partir de 3,75 €