Facebook a stocké en clair des mots de passe de « centaines de millions d'utilisateurs »

Et des dizaines de milliers pour Instagram 70
Accès libre
image dediée
Crédits : Diy13/iStock
Securité
Sébastien Gavois

Facebook avait sur ses serveurs les mots de passe en clair de centaines de millions d'utilisateurs. Le réseau social se veut rassurant : ils n'étaient pas accessibles de l'extérieur. Selon le spécialiste Brian Krebs, plus de 20 000 employés de Facebook pouvaient tout de même y accéder. 

Depuis des années, les failles de sécurité sont monnaie courante, avec des causes et conséquences plus ou moins graves selon les cas. Facebook vient de définir un nouveau record : « dans le cadre d'un examen de sécurité de routine en janvier, nous avons constaté que certains mots de passe d'utilisateurs étaient enregistrés de manière lisible dans nos serveurs internes », explique la société. C'est évidemment contraire aux règles de sécurité. 

Hasard ou non, ce communiqué officiel a été publié à 16h28, soit 11 minutes seulement après un billet du spécialiste en sécurité Brian Krebs où il dévoilait justement cette sombre histoire. Si la version officielle reste très sommaire, le chercheur donne plus de détails.

Les utilisateurs de Facebook et Instagram touchés

« Ne jamais stocker le mot de passe en clair » est une mesure de sécurité élémentaire selon la CNIL : « Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé ».

Le réseau social tente de limiter la casse : les mots de passe n'étaient pas accessibles par des personnes extérieures à Facebook. Il affirme également n'avoir à ce jour aucune preuve que des personnes internes auraient abusé ou utilisé à mauvais escient ces informations. Une enquête est toujours en cours. 

Bien évidemment, ce défaut de sécurisation a été corrigé et les utilisateurs concernés vont être contactés. Aucune campagne de réinitialisation des mots de passe n'est prévue pour l'instant. L'ampleur des dégâts a par contre de quoi laisser perplexe : « Nous estimons que nous allons notifier des centaines de millions d'utilisateurs de Facebook Lite, des dizaines de millions d'autres versions de Facebook et des dizaines de milliers d'utilisateurs Instagram ».

La société de Mark Zuckerberg en a profité pour examiner la manière dont sont stockées d'autres données, notamment les jetons d'identification, en procédant à des correctifs lorsque cela était nécessaire. Nous n'avons pas plus de détails sur ce point. 

Dans tous les cas, Facebook ne précise pas comment – et depuis quand – des centaines de millions de mots de passe en clair se sont retrouvés sur ses serveurs.

20 000 employés Facebook auraient eu accès aux mots de passe 

Sur son blog, Brian Krebs donne bien plus de détails. Tout d'abord, les premiers mots de passe enregistrés en clair remonteraient à 2012 et 200 à 600 millions d'utilisateurs seraient concernés. Plus de 20 000 employés de Facebook auraient eu la possibilité d'y accéder.

Selon une source interne participant à l'enquête, les journaux indiqueraient qu'environ 2 000 ingénieurs ou développeurs auraient effectué près de neuf millions de requêtes sur des jeux de données contenant les mots de passe en clair. 

Dans une interview accordée à Brian Krebs, Scott Renfro, ingénieur logiciel chez Facebook, explique que sa société ne souhaite pour l'instant pas communiquer sur des chiffres précis. Il confirme qu'une campagne de réinitialisation des mots de passe n'est pas à l'ordre du jour, car ils ont été enregistrés « par inadvertance » et qu'il n'y a « aucun risque réel ». C'est probablement aussi une manière de limiter la panique chez les utilisateurs et de tenter de minimiser ce manque flagrant de sécurité. Dans tous les cas, vous pouvez toujours le faire de manière préventive. 

Quand Facebook assure la promotion du chiffrement et de la sécurité

Dans son billet de blog, Facebook rappelle ensuite qu'il connait parfaitement les pratiques élémentaires de sécurité. Les mots de passe sont normalement hachés, salés et la fonction de dérivation de clé scrypt est utilisée. Le spécialiste Stéphane Bortzmeyer revient sur le fonctionnement de cette dernière dans ce billet de blog.

Comme pour faire tenter d'oublier qu'il a enregistré des millions de mots de passe en clair dans ses bases de données, Facebook détaille les différentes couches de sécurités mises en place : détection d'activité suspecte, envoi d'alerte en cas de connexions non reconnues, vérification des identifiants ayant fuité sur Internet pour trouver des correspondances avec des comptes et enfin la double authentification (SMS, application, clés U2F). Si ce n'est pas déjà fait, c'est surement une bonne idée d'activer cette dernière fonctionnalité.

Pour rappel, nous avons publié il y a quelque temps un guide sur le choix d'un bon mot de passe et d'un gestionnaire, avec des tests de plusieurs d'entre eux :

Un cas pas isolé, mais d'une ampleur inédite

D'autres sociétés ont connu des problèmes similaires, notamment Twitter et GitHub au cours de l'année dernière. Dans les deux cas, les mots de passe en clair étaient enregistrés par mégarde dans les logs des serveurs à cause d'un « bug ». Mais aucun des deux n'arrive à la cheville de Facebook, ni en quantité (plusieurs centaines de millions) ni en durée (depuis 2012). 

Par contre, comme nous avons pu le voir avec les Échos en avril dernier (corrigé depuis) certains stockent encore par défaut des mots de passe en clair dans leur base de données. Si vous êtes confrontés à ce genre de mauvaise pratique – par exemple si le mot de passe est renvoyé par email en cas d'oubli – nous avons mis en place une adresse email dédiée pour que vous puissiez nous en informer :

info@motdepasseenclair.fr

chargement
Chargement des commentaires...