Chez Facebook, des centaines de millions de mots de passe stockés en clair, sans sécurité !

Le système est immuable et il ne date pas d'hier. Il est même consubstantiel au développement de l'informatique en réseau depuis près de cinquante ans. Quand vous créez un compte utilisateur sur un service en ligne, l'identifiant est en clair et le mot de passe est chiffré. Les algorithmes de chiffrement ont évolué avec le temps, mais quel que soit le site, quelles que soient les méthodes de sécurisation employées, le principe reste le même : un mot de passe n'est jamais stocké en clair. Point.

Du coup, la faille de sécurité qui frappe Facebook ressemble presque à une curiosité : plus qu'un bug, un non-sens, surtout dans un environnement d'ingénieurs très sensibilisés à ce genre d'enjeux. Et pourtant, c'est bien à l'intérieur de l'entreprise, sur des serveurs inaccessibles de l'extérieur, que le géant a découvert que "certains mots de passe de (ses) utilisateurs étaient stockés dans un format lisible sur (ses) serveurs". C'est ce qu'explique ce jeudi Pedro Canahuati, le patron de la sécurité du réseau social, dans un communiqué.

Pedro Canahuatti est trop modeste. Selon un expert en sécurité qui a eu accès aux données de l'enquête, entre 200 et 600 millions de comptes seraient en fait concernés et autant de mots de passe en toutes lettres, accessibles à environ 20.000 employés de la société de Mark Zuckerberg. Dans les fichiers, quelques dizaines de milliers d'utilisateurs d'Instagram, des dizaines de millions d'utilisateurs de Facebook et surtout des centaines de millions de comptes ouverts sur Facebook Lite, la version allégée du réseau social, pensée pour les pays aux réseaux mobiles les moins véloces, où l'on utilise encore des téléphones mobiles peu puissants -bref, le Facebook des pays émergents. 

À la source de ce que l'on peut considérer comme un gros raté de sécurité, des développeurs qui auraient créé des applications internes où les identifiants d'utilisateurs étaient stockés en clair, sans que l'on en connaisse vraiment l'usage. Selon les données rassemblées par les investigations, environ 2 000 développeurs et ingénieurs auraient accédé à ces fichiers près de neuf millions de fois. Un gros trou à la raquette qui aurait eu cependant tout loisir d'être réparé, certains des fichiers dateraient en effet... de 2012.

Chez Facebook, on promet aujourd'hui avoir analysé l'essentiel des comptes concernés, pour vérifier qu'aucune utilisation frauduleuse des mots de passe n'y ait été détectée. On promet également que tous les utilisateurs concernés seront personnellement prévenus. 

Pour autant, Facebook ne prévoit pas de leur demander de changer leurs mots de passe, mais en profite pour rappeler toutes les autres façons de mieux sécuriser son compte.