Facebook a stocké en clair des centaines de millions de mots de passe pendant des années

Avec plus de un milliard d'utilisateurs, assurer la sécurité des données personnelles est une mission capitale pour Facebook. Si aujourd'hui celle-ci est très élevée, ce ne fut pas toujours le cas. Loin de là.

Facebook a bel et bien stocké des centaines de millions de mots de passe en clair pendant des années sur ses serveurs. Les employés pouvaient même effectuer des recherches sur ceux-ci jusqu’en 2012, selon la société spécialisée KrebsOnSecurity. Suite à cette annonce, Facebook a immédiatement ouvert une enquête et pour l’heure, aucun signe d’un quelconque abus en interne de ces données.

Des centaines de millions de mots de passe Facebook stockés en clair

Que s’est-il passé exactement ? Selon le rapport, des employés auraient conçu des applications qui récupéraient les mots de passes non chiffrés des utilisateurs et les stockaient tels quels sur des serveurs internes. L’article cite un employé de Facebook proche de l’enquête en cours.

Selon cette source, l’enquête indique que entre 200 et 600 millions d’utilisateurs auraient pu voir leur mot de passe stocké en clair. Ceux-ci étaient consultables à loisir par plus de 20 000 employés du réseau social. Facebook tente actuellement d’évaluer les chiffres exacts et la durée pendant laquelle ces mots de passe ont été ainsi exposés. Les logs d’accès montrent qu’environ 2 000 ingénieurs ou développeurs ont effectué près de 9 millions de requêtes internes pour des éléments de données qui contenaient des mots de passe en clair.

et consultables en internes pendant des années

Scott Renfro, ingénieur logiciel chez Facebook, déclarait que le géant de Menlo Park n’était pas encore prêt à donner des chiffres précis concernant le nombre d’utilisateurs affectés ou les employés qui auraient accédé à ces données. Facebook a l’intention d’informer directement les utilisateurs en question. Un changement de mot de passe ne sera pas nécessaire.

“Nous avons découvert que ces mots de passe ont été enregistrés par inadvertance mais cela ne représentait aucun risque“, déclarait Scott Renfro. Risque ou pas, nul doute que ce genre de souci ne devrait pas réjouir les utilisateurs concernés. Savoir que son mot de passe a été laissé en clair pendant un certain temps n’est pas franchement rassurant.