Facebook a stocké des centaines de millions de mots de passe d'utilisateurs en clair
Dans des serveurs internes accessibles à ses employés

Le , par Coriolan

401PARTAGES

11  1 
Pendant des années, Facebook a stocké les mots de passe de centaines de millions d’utilisateurs en clair, les rendant accessibles à des milliers d’employés du réseau social. Normalement, les mots de passe sont protégés par un processus qui s'appelle hashing, mais apparemment, une série d’erreurs a conduit certaines applications conçues par des employés de Facebook à stocker les mots de passe des utilisateurs de manière non sécurisée sur les serveurs du réseau social.


Selon KrebsonSecurity, entre 200 millions et 600 millions d’utilisateurs de Facebook seraient concernés. Pour certains, leurs mots de passe ont été accessibles par plus de 20 000 employés de Facebook. Selon une source interne de Facebook, le réseau social cherche toujours à savoir combien de mots de passe ont été exposés et pendant combien de temps. Jusqu’à maintenant, l’enquête a permis de découvrir des archives avec des mots de passe stockés en clair datant de 2012.

Selon une source interne de Facebook, les logs d’accès ont montré que 20 000 ingénieurs ou développeurs ont passé quelque 9 millions de requêtes internes pour des éléments de données contenant les mots de passe des utilisateurs en clair.

Facebook a informé qu’un audit de sécurité a permis d’identifier ce problème en janvier. La société a fait savoir qu’elle a réparé cette erreur et que les utilisateurs affectés seront notifiés.

Étrangement, Facebook a minimisé puis confirmé l’ampleur du problème dans le même billet de blog publié jeudi après les révélations du chercheur Brian Krebs. Initialement, Pedro Canahuati, vice-président de l’ingénierie pour la sécurité et la confidentialité de Facebook a informé que les employés de Facebook pouvaient accéder à “quelques” mots de passe des utilisateurs. Par la suite, il révèle que “des centaines de millions d’utilisateurs de Facebook Lite, des millions d’utilisateurs de Facebook et des dizaines de milliers d’utilisateurs d’Instagram” seront notifiées.

Scott Renfro, un ingénieur de Facebook, a confirmé que les utilisateurs affectés seront notifiés, mais ils n’auront pas à changer leurs mots de passe.

« Jusqu’à présent dans nos enquêtes, nous n’avons trouvé aucun cas où quelqu’un a intentionnellement cherché des mots de passe, ou des signes d’abus des données, » a dit Renfro. « Dans cette situation, nous avons constaté que ces mots de passe avaient été enregistrés par inadvertance, mais qu'il n'y avait pas de risque réel qui en découlait. Nous voulons nous assurer de réserver ces étapes et de ne forcer un changement de mot de passe que dans les cas où il y a eu des signes évidents d'abus. ».

Facebook n’est pas la première société à faire ce faux-pas. Récemment, Github et Twitter ont été forcés eux aussi à admettre que des mots de passe utilisateur ont été stockés en clair. Mais contrairement à Facebook, ils étaient accessibles à un nombre restreint d’employés et pendant une période de temps plus limitée.

Décidément, les maladresses de Facebook avec la sécurité et la confidentialité n’en finissent pas. Ce scandale est juste le dernier d’une série de problèmes qu’a connus l’entreprise. Juste au début de ce mois, le réseau social a été vivement critiqué par les experts en sécurité pour l’usage qu’il réserve aux numéros de téléphone ajoutés par les utilisateurs pour des raisons de sécurité (comme le marketing, la publicité et la recherche de profils). Les pratiques de Facebook ont attiré l’attention du Congrès américain et le réseau social fait même l’objet d’une enquête criminelle.

Il n’est pas clair pourquoi Facebook a attendu deux mois pour confirmer cet incident, toutefois, si vous utilisez toujours Facebook, malgré tous ces scandales, vous serez peut-être notifiés si le réseau social pense que vous êtes affectés. Dans tous les cas, il serait mieux de changer votre mot de passe.

Cet incident révèle une fois encore combien il est important d’utiliser un mot de passe unique pour chaque site. Même si le site web stocke les mots de passe de manière appropriée, rien ne garantit que les identifiants ne seront pas divulgués d’une façon ou d’un quatre, tel que dans ce cas, des systèmes de logs mal configurés. À l’avenir, WebAuthn, une norme de sécurité qui a été développée par le World Wide Web Consortium (W3C) et la FIDO (Fast IDentity Online) Alliance, sera peut-être en mesure de résoudre définitivement ce problème, car les sites n'auront accès qu'à une clé publique unique plutôt qu'à un mot de passe en texte clair. D'ici là, un gestionnaire de mots de passe reste votre meilleure défense pour se prémunir contre ce genre de maladresses.

Source : krebsonsecurity - facebook

Et vous ?

Qu’en pensez-vous ?
Pensez-vous qu'une société telle que Facebook a le droit de faire ce genre de maladresses ?
Pensez-vous pouvoir faire confiance à Facebook après autant de scandales ?

Voir aussi

Facebook est confronté à de nouvelles questions sur le moment où il a eu connaissance de la collecte de données de Cambridge Analytica
Chris Cox, chef des produits chez Facebook, et un autre dirigeant démissionnent à cause du projet d'unification de Messenger, Whatsapp et Instagram
Un simple changement dans la configuration des serveurs de Facebook a provoqué une panne mondiale, qui a duré six heures
USA : les accords de partage de données de Facebook avec des dizaines d'entreprises, font désormais l'objet d'une enquête criminelle
Le cofondateur de WhatsApp qui a vendu la société à Facebook pour 19 milliards de $ dit aux étudiants de supprimer leur compte Facebook

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de darklinux
Membre habitué https://www.developpez.com
Le 22/03/2019 à 7:37
Qu’en pensez-vous ?
Euh à ce niveau il n ' y a plus de mots
Pensez-vous qu'une société telle que Facebook a le droit de faire ce genre de maladresses ?

Non , aucune d ' ailleurs , c 'est du genre a dégagé a grand coup de pieds au cul et sans indemnité le SI

Pensez-vous pouvoir faire confiance à Facebook après autant de scandales ?
ma confiance baisse
Avatar de emilie77
Membre actif https://www.developpez.com
Le 22/03/2019 à 8:19
Aucune confiance a Facebook.
En plus j'ai effacé mon profil depuis longtemps mais je n'ai aucune assurance qu'il l'ont fait vraiment
Avatar de Doksuri
Membre émérite https://www.developpez.com
Le 22/03/2019 à 8:33
rendez-vous le mois prochain pour la prochaine "news FB" : ou on decouvrira que notre vie privee a encore ete violee
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 22/03/2019 à 8:40
Citation Envoyé par Coriolan Voir le message
Jusqu’à maintenant, l’enquête a permis de découvrir des archives avec des mots de passe stockés en clair datant de 2012.
De 2004 à au moins 2012 les mots de passe n'étaient pas chiffrés ?
C'est quand même dingue, dans tous les cours de base de données la première fois qu'on voit un champ pour le mot de passe on le chiffre.
Dans tous les tutoriaux de session utilisateur ça parle de md5 et de sha1 (c'est peut-être pas suffisant aujourd'hui, mais c'est toujours mieux qu'en clair).
Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 22/03/2019 à 8:46
Citation Envoyé par Coriolan Voir le message
Naturellement, les mots de passe sont protégés par un chiffrement (hashing)
Citation Envoyé par Ryu2000 Voir le message
De 2004 à au moins 2012 les mots de passe n'étaient pas chiffrés ?
C'est quand même dingue, dans tous les cours de base de données la première fois qu'on voit un champ pour le mot de passe on le chiffre.
Dans tous les tutoriaux de session utilisateur ça parle de md5 et de sha1 (c'est peut-être pas suffisant aujourd'hui, mais c'est toujours mieux qu'en clair).
Je vais prendre l'un pour taper sur l'autre...

Les fonctions de chiffrement sont inversibles, ce qui est le déchiffrement si on possède la clé, et le décryptage si on ne la possède pas.
Les fonctions de hachage qu'il faut utiliser pour protéger les mots de passes ne sont pas inversibles, ce ne sont pas des fonctions de chiffrement.

MD et SHA1 sont cassé/obsolètes depuis un petit bout de temps.
Pour les mots de passes, bcrypt est à ma connaissance le plus approprié. Au pire il y a toujours sha2, et depuis quelques temps sha3.
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 22/03/2019 à 9:05
Citation Envoyé par Neckara Voir le message
Les fonctions de chiffrement sont inversibles
Non mais d'accord mais apparemment là à cause d'un problème il n'y a pas eu de chiffrage (même trop faible) du tout :
Citation Envoyé par Coriolan Voir le message
Naturellement, les mots de passe sont protégés par un chiffrement (hashing), mais apparemment, une série d’erreurs a conduit certaines applications conçues par des employés de Facebook à stocker les mots de passe des utilisateurs de manière non sécurisée sur les serveurs du réseau social.

(...)
Jusqu’à maintenant, l’enquête a permis de découvrir des archives avec des mots de passe stockés en clair datant de 2012.

Selon une source interne de Facebook, les logs d’accès ont montré que 20 000 ingénieurs ou développeurs ont passé quelque 9 millions de requêtes internes pour des éléments de données contenant les mots de passe des utilisateurs en clair.
(...)
Facebook n’est pas la première société à faire ce faux-pas. Récemment, Github et Twitter ont été forcés eux aussi à admettre que des mots de passe utilisateur ont été stockés en clair. Mais contrairement à Facebook, ils étaient accessibles à un nombre restreint d’employés et pendant une période de temps plus limitée.
Ou alors ils disent "en clair" pour dire "avec des algorithmes de chiffrements cassés", mais c'est pas clair...
Avatar de SofEvans
Membre chevronné https://www.developpez.com
Le 22/03/2019 à 9:45
@Ryu2000

On vient de te dire que c'est pas du chiffrement mais du hachage.
Le fait qu'il soit écrit "en clair" ne signifie pas qu'il aurait fallu utiliser du chiffrement.
Cela signifie juste que les données sont "en clair".

Si tu chiffre un mot de passe, alors tu peux le déchiffrer et donc cela ne sert presque à rien de le chiffrer.
Il faut le hacher.
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 22/03/2019 à 10:04
Citation Envoyé par SofEvans Voir le message
Si tu chiffre un mot de passe, alors tu peux le déchiffrer et donc cela ne sert presque à rien de le chiffrer.
Il faut le hacher.
Oui ben ok, donc je reprends "des mots de passe ont été hachés et des mots de passe ont été stocké en clair".
J'ai parlé de vieux algorithme trop faible comme SHA1 et MD5 et c'est du hachage.

Pour moi "en clair" ça veut dire "en clair" et c'est opposé à "chiffré" / "haché".

Là dans cette phrase :
Naturellement, les mots de passe sont protégés par un chiffrement (hashing), mais apparemment, une série d’erreurs a conduit certaines applications conçues par des employés de Facebook à stocker les mots de passe des utilisateurs de manière non sécurisée sur les serveurs du réseau social.
"de manière non sécurisée" ça ne veut pas dire que ce n'est pas passé par la fonction de hachage ?
Avatar de Jonathan
Chroniqueur Actualités https://www.developpez.com
Le 19/04/2019 à 11:23
Facebook admet avoir stocké des millions de mots de passe Instagram en texte brut,
permettant à plus de 20 000 de ses employés d'y accéder

Le mois dernier, Facebook avait annoncé que des millions de mots de passe de ses utilisateurs étaient stockés sur ses serveurs en texte brut sans chiffrement. Au même moment, l'entreprise avait aussi fait savoir que des dizaines de milliers de mots de passe Instagram étaient également stockés dans le même format non chiffré, mais il se trouve que le nombre réel était bien plus élevé que ce qu'annonçait Facebook.

Dans une mise à jour faite sur un article de son blog publié originellement le mois dernier, Facebook indique désormais qu'après avoir découvert des journaux supplémentaires de mots de passe Instagram stockés dans un format lisible, et affirme que ce problème aurait touché plusieurs millions d'utilisateurs d'Instagram. Cela signifie que ces informations étaient lisibles et consultables par plus de 20 000 employés de Facebook. Mais la société a tenu à rassurer les utilisateurs en affirmant que non seulement ces données n'avaient pas été mal utilisées en interne, mais aussi que les personnes dont les données ont été exposées seront toutes notifiées.


Facebook a été très discret sur ses incidents de sécurité, un fait que de plus en plus d'utilisateurs trouvent gênant, d'autant plus que les incidents liés à la sécurité des données des utilisateurs deviennent de plus en plus courants. Les mots de passe sont supposés être stockés dans un format chiffré qui permet aux sites Web de confirmer ce que vous entrez sans le lire directement. Cependant, diverses erreurs semblent avoir amené les systèmes de Facebook à enregistrer des mots de passe en texte clair depuis 2012. Pour ce qui est du problème actuel, Facebook l'a remarqué en janvier dernier et a indiqué deux mois plus tard qu'il avait été résolu.

Certains ont suggéré que la mise à jour de son article de blog soit une tentative pour Facebook, de publier la nouvelle de la manière la plus discrète possible, étant donné qu'actuellement l'attention des médias américains est centrée sur des sujets beaucoup plus préoccupants. Quelles que soient les intentions de Facebook au moment de cette révélation, il y a tout de même de quoi s'interroger pour savoir s'il s'agit bien là de la dernière surprise concernant cette affaire.

Source : Dailymail, Facebook

Et vous ?

Qu'en pensez-vous ?
Pensez-vous que Facebook ait enfin tout dévoilé sur cette affaire ?

Voir aussi :

Facebook a stocké des centaines de millions de mots de passe d'utilisateurs en clair dans des serveurs internes accessibles à ses employés
Allemagne : Facebook ne doit plus combiner les données des utilisateurs collectées sur Instagram et WhatsApp sans leur accord explicite
Les pirates seraient en train de vendre des identifiants de connexion à Facebook sur le marché obscur du Web pour environ 3 $, selon un rapport
Avatar de Thomasa21
Membre actif https://www.developpez.com
Le 20/04/2019 à 11:16
plus rien ne me surprendra venant de ces grosses entreprises.
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web