Facebook demande le mot de passe du compte email aux nouveaux utilisateurs
S'il y a bien un mot de passe que vous vous devez de garder secret, c'est celui de votre boite mail, de votre vie numérique. Pourtant, c'est une information que Facebook demande aux nouveaux utilisateurs.
La plupart du temps, lorsque l’on s’inscrit à un nouveau service en ligne, il faut passer par la case activation du compte. Généralement, c’est en cliquant via un lien dans un email envoyé par ledit service. Assez étrangement, Facebook a décidé de demander le mot de passe du compte email en question aux nouveaux utilisateurs du réseau social.
Facebook demande le mot de passe du compte email servant à l’inscription
En effet, dans un tweet de e-sushi, on découvre une capture d’écran montant Facebook qui demande le mot de passe du compte mail de l’utilisateur pour vérifier l’adresse. On parle bien du mot de passe de la boîte mail utilisée pour l’inscription, pas du mot de passe du compte Facebook. Et c’est bien cela qui interpelle. À juste titre.
Interrogé par The Daily Beast, le consultant en sécurité Jake Williams déclarait : “C’est au-delà du douteux. Ils ne devraient pas prendre votre mot de passe ni le traiter où que ce soit. Si c’est désormais demandé pour s’inscrire sur Facebook, mieux vaudrait que vous ne soyiez pas sur Facebook.”
Une mauvaise façon de faire, assurément, vite supprimée
Facebook a répondu suite à découverte en déclarant : “Nous comprenons que l’option de vérification du mot de passe n’est pas la meilleure manière de gérer cela, alors nous allons cesser de la proposer.” Le géant américain assure aussi ne pas stocker les mots de passe, mais cela n’engage que sa parole. Difficile aussi de savoir si Facebook aurait continué à demande le mot de passe du compte mail si l’histoire n’avait pas été portée à l’attention des media.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you're practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) March 31, 2019