Nouveau coup tenace pour Facebook qui a éclairci que des centaines de millions de mots de passe d’utilisateurs étaient atteignable, en interne, par 20 000 de ses salariés. La société assure qu’ils n’ont pas sorti à l’extérieur du groupe.

Les mois s’ajoutent et se ressemblent pour Facebook en matière d’incident de sécurité. Déjà sous le coup d’une action lancée en décembre dernier par le procureur général de Washington et un autre faite par l’autorité de la concurrence allemande il y a quelques semaines, le géant des réseaux sociaux s’introduise dans la tempête des données personnelles.

Facebook a ainsi certifié hier que des centaines de millions de mots de passe d’utilisateurs étaient déposés sur ses serveurs dans un « format lisible », abordable aux salariés de Facebook. Le réseau social a déclaré que les utilisateurs intéressés seraient avertis, et qu’une annonce de transformation de mot de passe leur serait adressée. Il est captivant d’apercevoir que dans le message publié hier, Facebook a, à la fois, minimisé et confirmé le problème, après que le chercheur Brian Krebs a publié son propre rapport. Au début de son message, Pedro Canahuati, le vice-président de l’ingénierie pour la sécurité et la protection de la vie privée de Facebook, a fait état de « certains » mots de passe d’utilisateurs accessibles aux employés de Facebook. Mais dans un paragraphe postérieur, il avise que « des centaines de millions d’utilisateurs de Facebook Lite, des millions d’utilisateurs de Facebook et des dizaines de milliers d’utilisateurs d’Instagram » seraient avertis.

Des difficultés avec la solution de stockage des jetons d’accès

Selon Facebook, il s’agit d’un problème interne. « Pour être clair, ces mots de passe n’ont jamais été perceptibles par n’importe quel personne à l’extérieur de Facebook et nous n’avons trouvé jusqu’à présent aucune preuve que quelqu’un a abusé de ces données en interne ou y a accédé de façon inappropriée », a écrit Pedro Canahuati. Facebook a pareillement découvert des problèmes avec sa solution de stockage d’informations liées aux jetons d’accès, et les a corrigés. « Il n’y a rien de plus important pour nous que de défendre les informations personnelles de nos utilisateurs, et nous poursuivons nos efforts pour améliorer en permanence la sécurité sur Facebook », a aussi écrit Pedro Canahuati.

Brian Krebs retrace une condition très différente. Même s’il définit qu’il ne dispose d’aucune information montrant que des employés de Facebook ont pu escroquer de cet accès aux mots de passe des utilisateurs, une source lui a dit que les employés avaient créé des applications qui transcrivaient les données non chiffrées des utilisateurs de Facebook et les déposaient en texte clair sur les serveurs internes de l’entreprise. D’après cette même source, « depuis 2012, les mots de passe des comptes de 200 à 600 millions d’utilisateurs de Facebook ont été stockés en texte clair et étaient à la portée deplus de 20 000 employés du réseau social », a consigné le chercheur. Étonnamment, Scott Renfro, un ingénieur de Facebook, a dit à Brian Krebs que « Facebook avait découvert que ces mots de passe avaient été marqués par inadvertance, mais qu’il n’y avait aucun risque réel ».

AdTech Ad

Une image de marque ternie

Ce n’est pas l’unique scandale qui touche Facebook. Le 15 mars dernier, le terroriste néo-zélandais à l’origine de l’attaque des deux mosquées de Christchurch faisant 50 victimes, a pu transfuser le carnage en direct pendant 17 minutes via Facebook Live avant une intervention du réseau social. Autre affaire : après l’annonce, il y a 3 jours, de changements dans sa gestion des publicités sur l’emploi, le logement et le crédit ciblant les minorités et les populations les plus fragiles économiquement, le réseau social est pourchassé par plusieurs organisations de défense des droits civiques aux États-Unis.

À noter que Facebook Lite est une version réduite de Facebook lancée en 2009, d’abord aux États-Unis et en Inde, pour agréer à ceux qui n’ont pas accès à des services Internet haut débit d’utiliser le réseau social. Depuis, cette version est disponible dans de nombreux autres pays. Mais aux États-Unis, la grande majorité des utilisateurs amoindrissent la version complète de Facebook.