Facebook est une nouvelle fois sous le feu des projecteurs après avoir annoncé que les mots de passe de centaines de millions d’utilisateurs ont été exposés. Cette nouvelle est la dernière d’une longue série d’incidents rencontrés par la société au cours de l’année dernière. Elle est publiée au moment où une enquête pour utilisation des données des utilisateurs est en cours contre la société.

 


Que s’est-il passé ?

En janvier, lors d’un examen de routine de sécurité, Facebook a découvert que les mots de passe de ses utilisateurs étaient stockés dans leurs systèmes de mémoire de données internes sous un format lisible. Pedro Canahuati, vice-président ingénierie, sécurité et vie privé témoigne « cela a retenu notre attention car nos systèmes d’authentification sont faits pour masquer les mots de passe en utilisant des techniques qui les rendent illisibles. »

Selon Brian Krebs, un journaliste cyber sécurité, les mots de passe en clair ont pu être recherchés par les employés de Facebook dans certains cas depuis 2012. Un de ces employés, qui a souhaité rester anonyme, a confié à Krebs que la société enquêtait sur une série de défaillances de la sécurité après que des employés ont créé des applications qui contenaient des mots de passe non cryptés qui ont ensuite été stockés en clair sur les serveurs internes de la société.

La source a ajouté que cela aurait pu impacter entre 200 millions et 600 millions d’utilisateurs, et que 20 000 employés avaient accès à ces informations.

Pedro Canahuati assure que le problème a maintenant été réglé. Selon lui, les mots de passe n’ont jamais été accessibles en dehors de la société et « nous n’avons trouvé aucune preuve que quiconque au sein de notre société ait abusé de l’accès à ces mots de passe. »

Qui est impacté ?

Facebook a annoncé que chaque utilisateur dont le mot de passe a été stocké de cette façon allait en être informé. Selon Canahuati, ces utilisateurs sont nombreux : « Nous avons estimé que nous allions notifier des centaines de millions d’utilisateurs de Facebook Lite, des dizaines de millions d’autres utilisateurs Facebook, et des dizaines de milliers d’utilisateurs Instagram. »

Facebook Lite est une version de Facebook utilisée en grande partie par des personnes vivant dans des régions avec une connectivité moindre.

Si vous avez été impacté, changez votre mot de passe dès que possible, et vérifiez que vous avez activé l’authentification à deux facteurs.

Que va faire Facebook maintenant ?

La société a déclaré avoir vérifié la manière dont d’autres informations sont stockées, et avoir « réglé les problèmes dès qu’ils ont été identifiés. »

Pedro Canahuati a ajouté « Il n’y a rien de plus important pour nous que la protection des informations de nos utilisateurs, et nous allons continuer à apporter des améliorations dans le cadre de nos efforts en matière de sécurité. »

Il explique comment Facebook sécurise les mots de passe de ses utilisateurs : « Conformément aux pratiques exemplaires en matière de sécurité, Facebook masque les mots de passe de ses utilisateurs lorsqu’ils créent un compte pour que personne dans notre société ne puisse les voir. » Pour cela, Facebook utilise le cryptage : « en langage sécurité, nous « hachons » et ajoutons une valeur aléatoire aux mots de passe, et nous utilisons également une fonction nommée « scrypt » et une clé cryptographique qui nous permettent de remplacer votre mot de passe par une série de caractères aléatoires. Grâce à cette technique, nous pouvons vérifier qu’une personne se connecte avec le mot de passe correct sans avoir à vraiment stocker son mot de passe en clair. »

Comment protéger son compte Facebook ?

Il est vrai que la sécurité sur Facebook n’a pas toujours été excellente par le passé, mais sécuriser son compte Facebook peut être contraignant et certaines personnes ont décidé de complètement supprimer leur compte.

Mais la société reste tout de même vigilante, par exemple en détectant des connexions sur les nouveaux appareils, et en demandant une vérification après une connexion suspecte. Les utilisateurs peuvent aussi demander à recevoir des alertes en cas de tentatives de connexion sur leur compte. Facebook envoie alors une notification aux utilisateurs et les guide pour qu’ils modifient leur mot de passe.

De manière générale, avoir un mot de passe sécurisé est une chose essentielle. Il ne faut pas utiliser le même mot de passe pour différents sites. Les mots de passe doivent être complexes et uniques : les passages de livres ou les répliques de film sont beaucoup plus sécurisés que les mots de passe communs répétés sur tous vos comptes. Il peut sembler difficile de se souvenir de différents mots de passe, mais dans ce cas vous pouvez vous tourner vers des gestionnaires de mots de passe qui les retiendront pour vous.

Même si vous n’avez pas été affecté par cette faille, il semble nécessaire de changer votre mot de passe. Facebook n’a pas toujours été transparent par le passé, et lorsqu’il s’agit de protéger ses données, il vaut mieux rester sur ses gardes.