Intrapole
l Espace client l FAQ l RSS 2.O l
- Bienvenue sur le site de Intrapole, leader de la sécurité informatique en Afrique sub-sahérienne
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Des centaines de millions de mots de passe Facebook accessibles en clair par les employés

Nouveau coup dur pour Facebook qui a annoncé que des centaines de millions de mots de passe d’utilisateurs étaient accessibles, en interne, par 20 000 de ses employés. La société affirme qu’ils n’ont pas fuité à l’extérieur du groupe.

Les mois se suivent et se ressemblent pour Facebook en matière d’incident de sécurité. Déjà sous le coup d’une procédure lancée en décembre dernier par le procureur général de Washington et une autre lancée par l’autorité de la concurrence allemande il y a quelques semaines, le géant des réseaux sociaux s’enfonce dans la tourmente des données personnelles.

Facebook a ainsi confirmé hier que des centaines de millions de mots de passe d’utilisateurs étaient stockés sur ses serveurs dans un « format lisible », accessible aux employés de Facebook. Le réseau social a indiqué que les utilisateurs concernés seraient avertis, et qu’une notification de modification de mot de passe leur serait adressée. Il est intéressant de remarquer que dans le message publié hier, Facebook a, à la fois, minimisé et confirmé le problème, après que le chercheur Brian Krebs a publié son propre rapport. Au début de son message, Pedro Canahuati, le vice-président de l’ingénierie pour la sécurité et la protection de la vie privée de Facebook, a fait état de « certains » mots de passe d’utilisateurs accessibles aux employés de Facebook. Mais dans un paragraphe suivant, il annonce que « des centaines de millions d’utilisateurs de Facebook Lite, des millions d’utilisateurs de Facebook et des dizaines de milliers d’utilisateurs d’Instagram » seraient informés.

Des problèmes avec la solution de stockage des jetons d’accès
Selon Facebook, il s’agit d’un problème interne. « Pour être clair, ces mots de passe n’ont jamais été visibles par quiconque à l’extérieur de Facebook et nous n’avons trouvé jusqu’à présent aucune preuve que quelqu’un a abusé de ces données en interne ou y a accédé de façon inappropriée », a écrit Pedro Canahuati. Facebook a également découvert des problèmes avec sa solution de stockage d’informations liées aux jetons d’accès, et les a corrigés. « Il n’y a rien de plus important pour nous que de protéger les informations personnelles de nos utilisateurs, et nous poursuivons nos efforts pour améliorer en permanence la sécurité sur Facebook », a encore écrit Pedro Canahuati.

Brian Krebs décrit une situation très différente. Même s’il précise qu’il ne dispose d’aucune information indiquant que des employés de Facebook ont pu abuser de cet accès aux mots de passe des utilisateurs, une source lui a dit que les employés avaient créé des applications qui enregistraient les données non chiffrées des utilisateurs de Facebook et les stockaient en texte clair sur les serveurs internes de l’entreprise. D’après cette même source, « depuis 2012, les mots de passe des comptes de 200 à 600 millions d’utilisateurs de Facebook ont été stockés en texte clair et étaient consultables par plus de 20 000 employés du réseau social », a écrit le chercheur. Étrangement, Scott Renfro, un ingénieur de Facebook, a dit à Brian Krebs que « Facebook avait découvert que ces mots de passe avaient été enregistrés par inadvertance, mais qu’il n’y avait aucun risque réel ».

Une image de marque ternie
Ce n’est pas le premier scandale qui éclabousse Facebook. Le 15 mars dernier, le terroriste néo-zélandais à l’origine de l’attaque des deux mosquées de Christchurch faisant 50 victimes, a pu transmettre le carnage en direct pendant 17 minutes via Facebook Live avant une intervention du réseau social. Autre affaire : après l’annonce, il y a 3 jours, de changements dans sa gestion des publicités sur l’emploi, le logement et le crédit ciblant les minorités et les populations les plus fragiles économiquement, le réseau social est poursuivi par plusieurs organisations de défense des droits civiques aux États-Unis.

À noter que Facebook Lite est une version simplifiée de Facebook lancée en 2009, d’abord aux États-Unis et en Inde, pour permettre à ceux qui n’ont pas accès à des services Internet haut débit d’utiliser le réseau social. Depuis, cette version est disponible dans de nombreux autres pays. Mais aux États-Unis, la grande majorité des utilisateurs utilisent la version complète de Facebook.

Article rédigé par
Mark Hachman, IDG NS (adapté par Jean Elyan)
Source : lemondeinformatique.fr

LIRE LE DOSSIER
Facebook est rattrapé par un programme de collecte de données personnelles - Facebook Research App - pour lequel il payait 20 $/mois les utilisateurs enrôlés, dont des adolescents à partir de 13 ans. Apple vient de révoquer le certificat développeur de l’app de type VPN utilisée. Celle-ci enfreignait les règles de son programme développeur en entreprise, ce dernier devant être limité à une diffusion interne.

Apple estime que Facebook a enfreint les règles de son programme Developper entreprise. Ci-dessus, son CEO, Tim Cook. (Crédit : IDG)
Apple estime que Facebook a enfreint les règles de son programme Developper entreprise. Ci-dessus, son CEO, Tim Cook. (Crédit : IDG)

Facebook se fait tacler par Apple après la révélation d’un programme à travers lequel le réseau social payait des utilisateurs, dont des adolescents à partir de 13 ans, pour pouvoir collecter leurs données personnelles moyennant 20 dollars par mois, ainsi que l’ont rapporté nos confrères de Techcrunch. L’affaire concerne une app de type VPN utilisée par Facebook pour recueillir des informations sur les habitudes des utilisateurs ainsi enrôlés et dont le téléchargement ne passait pas par l’App Store. La firme de Tim Cook a estimé que Facebook avait enfreint ses règles d’utilisation. Elle vient donc de révoquer le certificat développeur de cette app que Facebook utilisait dans le cadre d’un des programmes entreprise d’Apple. A travers ces programmes, Apple permet en effet à des entreprises comme Facebook de mettre des apps iOS à la disposition de leurs propres collaborateurs, pour les tester dans le cadre d’un usage interne, sans passer par l’App Store et donc sans les vérifications d’usage.

En révoquant le certificat de l’app, la firme de Cupertino a dans le même mouvement coupé l’accès à d’autres apps légitimement utilisées par les employés de Facebook sur iOS, perturbant dans la foulée l’activité de la société, rapporte encore Techcrunch. Selon nos confrères, cela inclut des versions testées en interne de Facebook et d’Instagram de même que des apps de collaboration et d’organisation utilisées par une partie des 33 000 collaborateurs de la société (comme l’accès aux horaires des navettes de transport pour les trajets quotidiens, par exemple). On imagine que l’épisode va entraver pour un temps la productivité de la firme.

Une violation claire de l’accord, selon Apple
Dans un communiqué repris par plusieurs sites, Apple déclare : « Nous avons conçu notre programme de développeur entreprise uniquement pour la distribution interne d’apps au sein d’une organisation. Facebook a utilisé son adhésion [à ce programme] pour distribuer une app de collecte de données à des utilisateurs grand public, ce qui constitue une violation claire de leur accord avec Apple ». Facebook a de son côté confirmé l’existence du programme de recherche existant depuis deux ans. « Il n’y a rien de secret à ce sujet », a indiqué un porte-parole de la société en rappelant que le programme « s’appelait littéralement Facebook Research App » et en ajoutant qu’il n’espionnait pas puisque « toutes les personnes qui ont accepté d’y participer ont été enrôlées suivant un processus clair qui leur demandait leur permission et qu’elles ont été payés pour y participer ». Selon ce porte-parole, moins de 5% d’entre elles étaient des adolescents avec un accord parental signé.

Il y a quelques mois déjà, Facebook avait dû supprimer une app similaire à VPN, Onavo Protect, qu’Apple avait déjà coupée après avoir modifié sa politique en interdisant désormais de collecter des données de cette façon. Depuis plusieurs mois, le réseau social créé par Mark Zuckerberg est mis en cause sur divers sujets, dont l’affaire Cambridge Analytica, qui a conduit son fondateur Mark Zuckerberg à devoir s’expliquer devant le Congrès américain. Facebook est également sous le coup d’une enquête de la Federal Trade Commission. Cerné de toutes parts sur ses mauvaises pratiques autour des données personnelles, le réseau social vient de recruter deux figures connues de la protection de la vie privée. Il s’agit d’une part de Nate Cardozo, précédemment conseiller juridique de l’Electronic Frontier Foundation, et de Robyn Greene, une ancienne d’Open Technology Institute. Ces embauches lui permettront-elles de redresser la barre dans la bonne direction ?

Source : lemondeinformatique.fr
Article rédigé par
Maryse Gros

Actualité

l Accueil l Intrapole l Alerte sécurité l Expertise l RÈfÈrences l Partenaires l Téléchargements l FAQ l Contacts l