IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Facebook a stocké des centaines de millions de mots de passe d'utilisateurs en clair
Dans des serveurs internes accessibles à ses employés

Le , par Coriolan

1.1KPARTAGES

12  1 
Pendant des années, Facebook a stocké les mots de passe de centaines de millions d’utilisateurs en clair, les rendant accessibles à des milliers d’employés du réseau social. Normalement, les mots de passe sont protégés par un processus qui s'appelle hashing, mais apparemment, une série d’erreurs a conduit certaines applications conçues par des employés de Facebook à stocker les mots de passe des utilisateurs de manière non sécurisée sur les serveurs du réseau social.


Selon KrebsonSecurity, entre 200 millions et 600 millions d’utilisateurs de Facebook seraient concernés. Pour certains, leurs mots de passe ont été accessibles par plus de 20 000 employés de Facebook. Selon une source interne de Facebook, le réseau social cherche toujours à savoir combien de mots de passe ont été exposés et pendant combien de temps. Jusqu’à maintenant, l’enquête a permis de découvrir des archives avec des mots de passe stockés en clair datant de 2012.

Selon une source interne de Facebook, les logs d’accès ont montré que 20 000 ingénieurs ou développeurs ont passé quelque 9 millions de requêtes internes pour des éléments de données contenant les mots de passe des utilisateurs en clair.

Facebook a informé qu’un audit de sécurité a permis d’identifier ce problème en janvier. La société a fait savoir qu’elle a réparé cette erreur et que les utilisateurs affectés seront notifiés.

Étrangement, Facebook a minimisé puis confirmé l’ampleur du problème dans le même billet de blog publié jeudi après les révélations du chercheur Brian Krebs. Initialement, Pedro Canahuati, vice-président de l’ingénierie pour la sécurité et la confidentialité de Facebook a informé que les employés de Facebook pouvaient accéder à “quelques” mots de passe des utilisateurs. Par la suite, il révèle que “des centaines de millions d’utilisateurs de Facebook Lite, des millions d’utilisateurs de Facebook et des dizaines de milliers d’utilisateurs d’Instagram” seront notifiées.

Scott Renfro, un ingénieur de Facebook, a confirmé que les utilisateurs affectés seront notifiés, mais ils n’auront pas à changer leurs mots de passe.

« Jusqu’à présent dans nos enquêtes, nous n’avons trouvé aucun cas où quelqu’un a intentionnellement cherché des mots de passe, ou des signes d’abus des données, » a dit Renfro. « Dans cette situation, nous avons constaté que ces mots de passe avaient été enregistrés par inadvertance, mais qu'il n'y avait pas de risque réel qui en découlait. Nous voulons nous assurer de réserver ces étapes et de ne forcer un changement de mot de passe que dans les cas où il y a eu des signes évidents d'abus. ».

Facebook n’est pas la première société à faire ce faux-pas. Récemment, Github et Twitter ont été forcés eux aussi à admettre que des mots de passe utilisateur ont été stockés en clair. Mais contrairement à Facebook, ils étaient accessibles à un nombre restreint d’employés et pendant une période de temps plus limitée.

Décidément, les maladresses de Facebook avec la sécurité et la confidentialité n’en finissent pas. Ce scandale est juste le dernier d’une série de problèmes qu’a connus l’entreprise. Juste au début de ce mois, le réseau social a été vivement critiqué par les experts en sécurité pour l’usage qu’il réserve aux numéros de téléphone ajoutés par les utilisateurs pour des raisons de sécurité (comme le marketing, la publicité et la recherche de profils). Les pratiques de Facebook ont attiré l’attention du Congrès américain et le réseau social fait même l’objet d’une enquête criminelle.

Il n’est pas clair pourquoi Facebook a attendu deux mois pour confirmer cet incident, toutefois, si vous utilisez toujours Facebook, malgré tous ces scandales, vous serez peut-être notifiés si le réseau social pense que vous êtes affectés. Dans tous les cas, il serait mieux de changer votre mot de passe.

Cet incident révèle une fois encore combien il est important d’utiliser un mot de passe unique pour chaque site. Même si le site web stocke les mots de passe de manière appropriée, rien ne garantit que les identifiants ne seront pas divulgués d’une façon ou d’un quatre, tel que dans ce cas, des systèmes de logs mal configurés. À l’avenir, WebAuthn, une norme de sécurité qui a été développée par le World Wide Web Consortium (W3C) et la FIDO (Fast IDentity Online) Alliance, sera peut-être en mesure de résoudre définitivement ce problème, car les sites n'auront accès qu'à une clé publique unique plutôt qu'à un mot de passe en texte clair. D'ici là, un gestionnaire de mots de passe reste votre meilleure défense pour se prémunir contre ce genre de maladresses.

Source : krebsonsecurity - facebook

Et vous ?

Qu’en pensez-vous ?
Pensez-vous qu'une société telle que Facebook a le droit de faire ce genre de maladresses ?
Pensez-vous pouvoir faire confiance à Facebook après autant de scandales ?

Voir aussi

Facebook est confronté à de nouvelles questions sur le moment où il a eu connaissance de la collecte de données de Cambridge Analytica
Chris Cox, chef des produits chez Facebook, et un autre dirigeant démissionnent à cause du projet d'unification de Messenger, Whatsapp et Instagram
Un simple changement dans la configuration des serveurs de Facebook a provoqué une panne mondiale, qui a duré six heures
USA : les accords de partage de données de Facebook avec des dizaines d'entreprises, font désormais l'objet d'une enquête criminelle
Le cofondateur de WhatsApp qui a vendu la société à Facebook pour 19 milliards de $ dit aux étudiants de supprimer leur compte Facebook

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de rawsrc
Expert éminent sénior https://www.developpez.com
Le 03/08/2019 à 9:48
On n'est pas à une ineptie près, avec les américains, hein !
On croit rêver, les autorités américaines se plaignent d'un possible problème d'abus de position dominante de la part de Facebook. Non, mais sans blague !
Au moment des rachats de tous les concurrents par FB, les autorités de régulation US, elles étaient où ? Sûrement aux fraises mais en tout cas pas au bureau.
Qui s'est pavané devant une telle audace, devant une telle croissance, devant un si beau projet entrepreneurial ?
Toutes les voix discordantes ont été priées de se taire afin de ne pas entraver la marche du marché.

Quelle blague maintenant de se dédire, tout le monde savait parfaitement comment ça allait se passer, une telle force de frappe financière au sein d'une seule main ça finit par tout tuer.
Sans compter l'influence que ce réseau génère sur les votants et futurs votants qui se sont massivement détournés de la télévision. Et là pour les pingouins en politique (tous du millénaire précédent) qui n'y comprennent rien et qui s'accrochent au pouvoir comme des moules à leur rocher sont bien emm......dés. Alors on découpe histoire de reprendre un peu la main.

Et pour les autres mastodontes, ils vont faire quoi ? Les tronçonner tous ? Bien sûr... Il n'y aura qu'un bouc émissaire et comme c'est parti ça risque d'être FB.
Le seul réseau pour l'instant qui fait concurrence (un bien grand mot) à FB c'est Snap et le fondateur a refusé une offre de 4 milliards de dollars de la part de FB.

Bref, tout ça pour dire que ce ne sont que des positions de principe : regardez, on veille... Mais vous comprenez ça va prendre du temps, allez on en reparle dans 10 ans.
4  0 
Avatar de Coeur De Roses
Membre actif https://www.developpez.com
Le 24/04/2019 à 18:41
Mark Zuckerberg possède sa part de responsabilité, mais je suis persuadé qu'il est pas le seul fautif, certains qui ont été pour ces actions de transgressions à l'encontre de la confidentialité ou a qui ça ne faisait ni chaud ni froid et qui étaient au courant de ces choses s'estiment heureux qu'ils prennent tout les dégât et que tout retombe sur lui. J'ai pas de preuve mais ça me semble trop facile de tout mettre sur lui. Je suis sûr qu'il y'a d'autres noms en plus de Zuckerberg.
3  0 
Avatar de Thomasa21
Inactif https://www.developpez.com
Le 20/04/2019 à 11:16
plus rien ne me surprendra venant de ces grosses entreprises.
2  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 23/04/2019 à 10:38
Citation Envoyé par Jonathan Voir le message
des millions de mots de passe de ses utilisateurs étaient stockés sur ses serveurs en texte brut sans chiffrement.
(...)
Facebook indique désormais qu'après avoir découvert des journaux supplémentaires de mots de passe Instagram stockés dans un format lisible
Donc là on est d'accord, il n'y a pas de chiffrement, pas de hachage, c'est du clair ?

Citation Envoyé par Thomasa21 Voir le message
plus rien ne me surprendra venant de ces grosses entreprises.
Je crois que normalement il faut faire des tests de non-régression et ce genre de chose.
Il faut un scénario qui s’exécute automatiquement dans lequel un utilisateur est créé et on regarde si dans la base de données le mot passe haché, le grain de sable et tout ça, sont correct.

On doit pouvoir tester si un mot de passe est en clair ou haché.
Par exemple avec SHA1 "password" devient "940c0f26fd5a30775bb1cbd1f6840398d39bb813".

Je ne sais pas si ils vont réussir à trouver les commits qui ont foutu la merde dans le système.

Citation Envoyé par Doksuri Voir le message
Non mais de toute façon ça fait des mois et des mois qu'il y a une succession d'affaires Facebook.
En moyenne il doit y avoir une toutes les deux semaines...

Depuis l'élection de Trump, il y a une guerre contre Facebook (alors qu'ils ont déjà les algorithmes pour promouvoir ou masquer certains contenus...).
2  0 
Avatar de Thomasa21
Inactif https://www.developpez.com
Le 24/04/2019 à 19:05
Citation Envoyé par Coeur De Roses Voir le message
J'ai pas de preuve mais ça me semble trop facile de tout mettre sur lui. Je suis sûr qu'il y'a d'autres noms en plus de Zuckerberg.
je ne suis totalement d'accord. Comme on le voit partout, c'est toujours celui qu'on met au devant de la scène qu'on présente comme fautif mais pourtant certaines têtes pensantes sont tapies dans l'ombre et tirent les ficelles sans être inquiétées.
2  0 
Avatar de Mingolito
Membre extrêmement actif https://www.developpez.com
Le 24/04/2019 à 23:01
Les documents du Facebookleak ont montré au contraire que Zuckerberg a manigancé cela sciemment et qu'il a demandé à ses directeurs à ce que son plan diabolique pour contrôler le monde en s'appuyant sur le vol massif et la vente de données reste secret

2  0 
Avatar de Refuznik
Membre éclairé https://www.developpez.com
Le 09/05/2019 à 21:50
Ce que je retiens surtout de l'article c'est "... l’accent devrait être mis sur la régulation de l’Internet".
Mais bien sur Trop de gens oublient qu'internet ce n'est pas les réseaux sociaux, les moteurs de recherches ou quelques sites web et c'est bien malheureux.
Il faut sauvegarder Internet contre les états et les entreprises comme Facebook ou autres.
2  0 
Avatar de renaud_noumea
Futur Membre du Club https://www.developpez.com
Le 31/07/2019 à 20:30
Un associal crée un réseau soit disant "social" qui détruit la société. Y'aurait pas un petit problème.
Pour ceux qui ne comprennent pas que beaucoup de personnes ne peuvent s'en passer, je leur conseille d'essayer les opiacés pour découvrir ce qu'est la dépendance et la nocivité.
2  0 
Avatar de TotoParis
Membre expérimenté https://www.developpez.com
Le 28/09/2024 à 21:03
il y a plus de détails là :
https://macbidouille.com/news/2024/0...passe-en-clair

  1. Les mots-de-passe de Facebook et Instagram ont été stockés en clair de 2012 à 2019
  2. 20 000 employés du groupe Meta y avaient totalement accès
  3. 9 000 000 de requêtes ont été effectuées en interne pour accéder à ces mots-de-passe
  4. On ne sait absolument pas ce qui a été effectué avec ces mots-de-passe, y-compris prendre le contrôle d'un compte ou accéder aux contenus privés dont les messages échangés
  5. Meta n'a prévenu aucun organisme réglementaire dans les différents pays touchés
  6. Meta n'a pas informé les usagers dont le mot-de-passe a été dévoilé
  7. Meta n'a informé aucun utilisateur en fait...
2  0 
Avatar de Ragougnasse
Membre du Club https://www.developpez.com
Le 06/10/2024 à 13:12
"ces mots de passe avaient été enregistrés par inadvertance "

Par inadvertance ? Vraiment ?
Quelle déveine ! Nos mots de passe sont stockés en clair depuis des années. Alors là, c'est un coup du sort ! On n'a pas décidé de le faire comme ça en se réunissant avec toute une équipe, en faisant le choix d'un outil, en investissant dans l'outil et dans les dév, en planifiant les travaux pour que ce soit opérationnel, en y réfléchissant en amont et en faisant arbitrer la décision, avec un jour de lancement officiel, on n'a pas fait de tests, pas de programme qualité, et depuis des années, on n'a jamais rien remarqué. Rien. Croix de bois, croix de fer.
C'est bien simple, ça s'est fait à l'insu de notre plein gré !
2  0