Facebook et les mots de passe : le chiffrement, c’est pas automatique
Les mots de passe de centaines de millions d’utilisateurs de Facebook ont été stockés sans chiffrement. Des employés ont pu y avoir accès.
Vous utilisez Facebook Lite ? On va peut-être vous inviter à réinitialiser votre mot de passe.
Plus probablement, on vous notifiera, comme « des centaines de millions d’autres », d’un incident de sécurité.
Facebook dit avoir découvert l’incident en question au mois de janvier, à l’occasion d’un « contrôle de routine ».
Le groupe américain a constaté la présence, sur ses serveurs, de mots de passe non chiffrés.
La communication officielle ne s’étend pas sur les raisons du problème. Tout au plus est-il spécifié que des « dizaines de millions » d’utilisateurs de la version « normale » de Facebook et des « dizaines de milliers » de membres d’Instagram sont également touchés.
Requêtes sans intention
Sur la base du témoignage d’une source interne à l’entreprise américaine, le chercheur en sécurité Brian Krebs donne quelques précisions.
Pointant des applications mal conçues, il estime que jusqu’à 20 000 employés de Facebook ont pu avoir accès auxdits mots de passe.
Dans la pratique, quelque 2 000 d’entre eux auraient effectué des requêtes dont les résultats contenaient les mots de passe. Mais aucune de ces requêtes n’était intentionnelle, d’après un ingénieur de Facebook.
Les origines du problème pourraient remonter à 2012.