Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Facebook : encore des fuites de données et demande du mot de passe de votre messagerie emailCrédits : SanneBerg/iStock

La société UpGuard, spécialisée dans la sécurité informatique, explique avoir identifié deux bases de données contenant des informations sensibles et librement accessibles sur des serveurs Amazon S3.

La première provient de chez Cultura Colectiva. Elle pèse 146 Go et contient des informations personnelles de pas moins de 540 millions d'utilisateurs : commentaires, j'aime, réactions, informations sur les comptes, etc.

La seconde brèche concerne le service At the Pool qui n'est plus actif depuis 2014. Stockée là encore sur un serveur S3, la base de données comprend de nombreuses informations sur des comptes Facebook, les amis, j'aime, etc., ainsi que 22 000 mots de passe en clair. Selon UpGuard ces derniers seraient rattachés aux comptes At The Pool, pas directement à Facebook.

Les chercheurs affirment avoir contacté Cultura Colectiva deux fois en janvier, sans aucune réponse. Ils ont joint Amazon en janvier et en février avec réponse à la clé, mais sans bloquer l'accès aux fichiers. Il faudra attendre le 3 avril au matin qu'un journaliste de Bloomberg contacte Amazon pour que l'accès soit coupé. Concernant At The Pool, les informations ont été rendues inaccessibles pendant qu'UpGuard menait son enquête et avant que les chercheurs ne contactent qui que soit.

Mais ce n'est pas tout. Comme le rapporte Ars Technica, Facebook a demandé à certains de ses nouveaux utilisateurs d'entrer le mot de passe de leur messagerie « pour confirmer leur adresse email ». Ce genre de demande, qui défie toutes les règles de sécurité, semble arriver avec certains services uniquement, notamment Yanex et GMX, mais pas Gmail.

Un porte-parole de Facebook confirme, mais ajoute que la société ne stocke pas ces mots de passe… un argument bien trop léger face à ce genre de pratiques, compte tenu de la réputation de la société en la matière. Pour rappel, elle a récemment reconnu avoir stocké en clair des mots de passe de « centaines de millions d'utilisateurs ».

Quoi qu'il en soit, le réseau social ajoute avoir mis fin à cette pratique.

10 commentaires
Avatar de maverick78 Abonné
Avatar de maverick78maverick78- 04/04/19 à 08:42:12

Sur les deux fuites, on est clairement pas dans la responsabilité de Facebook. Ce sont des applications qui ont demandé à l'utilisateur si elles pouvaient accéder en son nom aux resources stockés par Facebook. Si l'utilisateur consent, la responsabilité est sur l'application et l'utilisateur.

Avatar de Kevsler INpactien
Avatar de KevslerKevsler- 04/04/19 à 08:46:19

Mais ce n'est pas tout. Comme le rapporte Ars Technica, Facebook a demandé à certains de ses nouveaux utilisateurs d'entrer le mot de passe de leur messagerie « pour confirmer leur adresse email ». Ce genre de demande, qui défit toutes les règles de sécurité, semble arriver avec certains services uniquement, notamment Yanex et GMX, mais pas Gmail.

Un porte-parole de Facebook confirme, mais ajoute que la société ne stocke pas ces mots de passe… un argument bien trop léger face à ce genre de pratiques, compte tenu de la réputation de la société en la matière. Pour rappel, elle a récemment reconnu avoir stocké en clair des mots de passe de « centaines de millions d'utilisateurs ».

Euh... Y'a plus d'informaticiens chez Facebook ou bien ils sont tous mégalos ?!

Avatar de Naneday INpactien
Avatar de NanedayNaneday- 04/04/19 à 08:55:23

Tout ca uniquement pour faire gonfler le nombre de connections ;)

Avatar de Kazer2.0 Abonné
Avatar de Kazer2.0Kazer2.0- 04/04/19 à 09:31:08

Le passage qui manque c'est "Facebook confirme, mais ajoute que la société ne stocke pas ces mots de passe ...de façon chiffré"

:troll:

Édité par Kazer2.0 le 04/04/2019 à 09:31
Avatar de js2082 INpactien
Avatar de js2082js2082- 04/04/19 à 11:13:40

Kazer2.0 a écrit :

Le passage qui manque c'est "Facebook confirme, mais ajoute que la société ne stocke pas ces mots de passe ...de façon chiffré"

:troll:

Ben, ce n'est pas un troll, c'est la stricte vérité, l'actualité l'a bien relevé.

Et si on réfléchit 2 secondes, l'argumentation de Facebook ne tient pas une seconde:
Ils demandent le mot de passe de la messagerie "pour confirmer leur adresse email".
Or la confirmation n'est jamais immédiate mais prend généralement quelques minutes.
Et pendant ces quelques minutes, que font-ils du mot de passe? Vont-ils le "conserver" temporairement en ram?
Cela reviendrait donc à immobiliser pendant plusieurs minutes une partie des capacités de leurs serveurs pour une simple validation. Techniquement, cela n'est pas rentable de procéder ainsi.
 
Le plus économique revient à stocker le mdp sur le disque dur pour en faire la vérification par la suite.
 Et si on est toujours dans une logique capitaliste visant à réduire les couts au maximum, le mdp n'est pas chiffré (ça coute de faire ça) et il n'est pas non plus effacé (ça coute aussi de le supprimer)

 Facebook étant une société hautement capitaliste, il est fort probable qu'elle raisonne ainsi et donc que ces mdp sont toujours stockés en clair sur un de leur serveur.

En fait, quand on se met à raisonner comme ces sociétés d'un point de vue purement financier, on arrive à expliquer tout et n'importe quoi, et surtout le pire...

:8
  
 
 

Avatar de PercevalIO INpactien
Avatar de PercevalIOPercevalIO- 04/04/19 à 11:32:48

On les renomme bientôt Facepalm... ☺

Avatar de Zerdligham INpactien
Avatar de ZerdlighamZerdligham- 04/04/19 à 11:46:03

Le fait d'être guidé par le profit n'empêche pas de prendre un minimum de précautions. En l’occurrence, chiffrer les mdp a un coût ridiculement faible, bien plus faible que le coût de damage control qu'ils vont devoir faire maintenant. L'explication est certainement ailleurs, et ce n'est pas nécessairement plus rassurant.

Parce que la vrai question, c'est 'depuis quand on a besoin du mdp de l'adresse e-mail pour la confirmer?'. Ils ne peuvent pas envoyer un mail avec un lien secret comme tout le monde? Pourquoi ne le font-ils pas avec certains fournisseur ? Faut-il y voir un rapport avec le fait que certain d'entre eux, comme Gmail, bloquent et envoient une alerte quand quelqu'un se connecte depuis une IP anormale, ce qui aurait pu faire tiquer un utilisateur, même peu méfiant?
Ce qui est réellement fait avec ce mot de passe m'inquiète personnellement bien plus que le fait qu'il ait ou non été stocké en clair.

Cette affaire montre encore une fois qu'il est nécessaire d'éduquer très tôt les gens à la sécurité informatique, et notamment que personne d'autre que votre fournisseur de mail est légitime à vous en demander le mot de passe.

Avatar de Ricard INpactien
Avatar de RicardRicard- 04/04/19 à 15:20:28

Zerdligham a écrit :

chiffrer les mdp a un coût ridiculement faible, bien plus faible que le coût de damage control qu'ils vont devoir faire maintenant.

Facebook... Toute les semaines un nouveau scandale. Et toutes les semaines, plusieurs millions d'utilisateurs en plus...

Avatar de SebGF Abonné
Avatar de SebGFSebGF- 04/04/19 à 16:30:29

Mais ce n'est pas tout. Comme le rapporte Ars Technica, Facebook a demandé à certains de ses nouveaux utilisateurs d'entrer le mot de passe de leur messagerie « pour confirmer leur adresse email ». Ce genre de demande, qui défie toutes les règles de sécurité, semble arriver avec certains services uniquement, notamment Yanex et GMX, mais pas Gmail.

J'aimerais rappeler que des machins sociaux demandent régulièrement l'accès à la messagerie du produit pour pouvoir "lui trouver des contacts et recommander l'outil".

Donc franchement, rien de surprenant.

Avatar de Mihashi Abonné
Avatar de MihashiMihashi- 04/04/19 à 20:11:36

Le facepalm, c'est surtout les gens qui utilisent encore facebook…

Il n'est plus possible de commenter cette actualité.