Une nouvelle fois le géant américain reconnaît des failles dans la sécurité de son système. Facebook nous a habitués au pire en matière de sécurité, de déontologie et d’éthique. Une fois de plus, on n’est pas très surpris d’apprendre que la sécurité des comptes des utilisateurs n’est pas assurée. Pas plus qu’on ne l’est de découvrir que derrière les beaux discours les pratiques sont loin d’être à la hauteur. C’est d’autant plus inquiétant qu’en 2019, Facebook compte plus de 2,32 milliards d’utilisateurs actifs chaque mois et 1,52 milliard d’utilisateurs actifs chaque jour dans le monde.
Des centaines de millions de mots de passe de comptes d’utilisateurs de Facebook sont concernés. Ils étaient stockés en clair et consultables par des milliers d’employés de Facebook. Dans certains cas, cela remonterait à 2012. Facebook indique qu’une enquête en cours n’a, jusqu’à présent, révélé aucun abus de l’accès à ces données. Mais cela n’est pas le signe que finalement tout va bien… C’est plutôt même le contraire. Cela signifie que le personnel de Facebook s’affranchit des politiques de sécurité de l’entreprise. Ou alors pire, qu’il n’y a pas de politique sur ce sujet. Comment une entreprise qui manipule des données personnelles de plus 2,5 milliards d’utilisateurs peut-elle se comporter aussi « légèrement » vis à vis de la sécurité?
A l’heure où presque un humain sur deux stocke ses informations personnelles sur Facebook, il y a de quoi s’inquiéter.
Facebook enquête
« Facebook enquête sur une série de problèmes de sécurité au cours desquels les employés ont créé des applications consignant des données de mot de passe non chiffrées pour les utilisateurs de Facebook et les stockant en texte brut sur des serveurs internes de l’entreprise ». C’est ce qu’a déclaré un haut responsable de Facebook proche de l’enquête et qui a requis l’anonymat.
Selon cette source, l’enquête a jusqu’à présent révélé entre 200 et 600 millions d’utilisateurs de Facebook dont les mots de passe de compte avaient été stockés en clair et consultables par plus de 20.000 employés de Facebook. La source a indiqué que Facebook essayait toujours de déterminer combien de mots de passe avaient été exposés et pour combien de temps. Notons que l’enquête a révélé des archives avec des mots de passe utilisateur en texte brut datant de 2012.
Toujours selon cet employé de Facebook, les logs d’accès indiqueraient que 2.000 ingénieurs ou développeurs auraient effectué environ 9 millions de requêtes internes concernant des éléments de données contenant des mots de passe utilisateur en texte brut.
« Plus nous avançons dans cette analyse et plus les juristes de Facebook voient le nombre de comptes concernés diminuer. À l’heure actuelle, ils s’efforcent de réduire encore plus ce nombre en ne comptant que les éléments que nous avons actuellement dans notre entrepôt de données.»
Selon Facebook, la situation est sous contrôle
Scott Renfro, ingénieur de l’équipe de développement de Facebook a accordé une interview accordée à KrebsOnSecurity. Il a déclaré que la société ne souhaitait pas communiquer de chiffres précis. Ainsi Facebook ne confirme pas le nombre d’employés ayant pu accéder aux données.
« Nous avons résolu le problème. Et, par précaution, nous allons prévenir tous ceux dont les mots de passe ont été stockés sous cette forme ». C’est ce que souligne Facebook dans un communiqué, précisant que normalement ses systèmes auraient dû les crypter.
Pas d’abus signalés
« Jusqu’à présent, nous n’avons trouvé aucun cas dans nos enquêtes où quelqu’un cherchait intentionnellement des mots de passe, ni des signes d’utilisation abusive de ces données », a déclaré Renfro. « Nous avons constaté que ces mots de passe avaient été enregistrés par inadvertance. Mais il n’existait aucun risque réel. Nous voulons nous assurer que nous réservons ces étapes et que nous ne forcerons un changement de mot de passe que dans les cas où il y a clairement eu des signes d’abus. «
« Notre attention a été attirée parce que nos systèmes de connexion sont conçus pour masquer les mots de passe en utilisant des techniques qui les rendent illisibles. Nous avons corrigé ces problèmes. Et, par précaution, nous informerons toutes les personnes dont les mots de passe trouvés ont été stockés de cette manière. »
Une déclaration écrite de Facebook indique cependant que la société compte notifier «des centaines de millions d’utilisateurs de Facebook Lite, des dizaines de millions d’autres utilisateurs de Facebook et des dizaines de milliers d’utilisateurs d’Instagram. » Facebook Lite est une version de Facebook conçue pour connexions rapides et téléphones low-spec.
Les utilisateurs de Facebook Lite majoritairement concernés, mais pas que…
Ainsi sont donc concernés beaucoup d’utilisateurs de Facebook vivant dans les pays en voie de développement. C’est notamment le cas des pays Africains où le géant américain propose depuis longtemps Facebook Lite. La solution est très appréciée des populations défavorisées qui n’ont plus de connexion internet à payer pour utiliser la plateforme.
Github et Twitter ont tous deux été contraints d’admettre des difficultés similaires au cours des derniers mois, mais dans ces deux cas, les mots de passe des utilisateurs en texte brut étaient disponibles pour un nombre relativement restreint de personnes au sein de ces organisations et pour des périodes beaucoup plus courtes.
Le problème a été découvert en janvier 2019 lorsque des ingénieurs en sécurité ont examiné un nouveau code. Ils ont remarqué que les mots de passe étaient consignés par inadvertance en texte brut.
«Cela a incité l’équipe à mettre en place un petit groupe de travail pour s’assurer que nous effectuions un large examen de la situation, où que cela se produise », a déclaré Renfro. «Nous avons un ensemble de contrôles en place pour tenter d’atténuer ces problèmes, et nous sommes en train d’enquêter sur des modifications d’infrastructures à long terme afin d’empêcher que cela ne se reproduise. Nous sommes en train de passer en revue tous les journaux dont nous disposons pour voir s’il ya eu un abus ou un autre accès à ces données. «
Allons nous revoir une fois de plus ce type d’image?
Ce n’est qu’un nouvel épisode d’une longue série
Les problèmes de mot de passe de Facebook surviennent au cours d’un mois difficile pour le réseau social. La semaine dernière, le New York Times a annoncé que des procureurs fédéraux avaient ouvert une enquête criminelle sur les transactions de données que Facebook avait conclues avec certaines des plus grandes entreprises de technologie du monde.
Plus tôt en mars, Facebook avait été critiqué par des experts en sécurité et protection de la vie privée pour avoir utilisé des numéros de téléphone fournis pour des raisons de sécurité – telles que l’authentification à deux facteurs – pour des tâches telles que le marketing, la publicité et la possibilité de rechercher des utilisateurs à l’aide de leurs numéros de téléphone sur les différentes plateformes du réseau social.
Que faire pour se protéger?
Ce n’est pas la première fois que Facebook est sous le feu des projecteurs pour des problèmes de sécurité. Il est clair qu’on ne peut pas tout attendre du géant américain. Alors que faire? C’est avant tout une question de cyber-hygiène pour les utilisateurs.
La règle de base est de gérer correctement vos mots de passe. Je vous invite d’ailleurs à relire un de mes précédents articles qui approfondissait cette solution toute simple à mettre en oeuvre. Ainsi, que faire concernant la faille de sécurité découverte par Facebook? Le meilleur moyen de vous protéger est de changer rapidement vos mots de passe. Il va sans dire que tout le monde est concerné. Cela ne se limite pas aux utilisateurs de Facebook Lite ni aux utilisateurs qui seront contactés par Facebook.
Alors n’attendez pas et prenez cette menace au sérieux. Il y a sans aucun doute encore beaucoup d’autres problèmes de sécurité à venir. Ils seront découverts à l’occasion d’une cyber-attaque ou de façon tout à fait fortuite. Aujourd’hui, la complexité des systèmes les rend de plus en plus vulnérables. Alors c’est à chaque utilisateur de prendre sa sécurité en main.