Un expert en sécurité a découvert que pendant sept ans, de 2012 à 2019, Facebook n’avait pas chiffré les mots de passe de centaines de millions d’utilisateurs. Des milliers de salariés de Facebook pouvaient ainsi les récupérer et les lire…

Si vous avez reçu jeudi un e-mail de la part de Facebook vous conseillant de modifier votre mot de passe, c’est que vous faites partie des centaines de millions de victimes du dernier bug en date du réseau social. On écrit « bug » pour reprendre le terme employé par Facebook, mais il s’agit surtout d’une énorme faille qui durait depuis… 2012 !

C’est le site Krebs on Security qui en a fait la découverte, et cela concernait le stockage des mots de passe des utilisateurs de Facebook, Facebook Lite et Instagram. Ils n’étaient tout simplement pas chiffrés, et les quelque 20.000 employés de Facebook pouvaient y accéder et les récupérer puisqu’ils étaient affichés tel quel, sans le moindre cryptage. Si Facebook assure qu’aucun employé n’a accédé à cette immense base de données, qu’en est-il d’un pirate ?

Rappelons que lorsqu’un utilisateur choisit un mot de passe, un petit logiciel de chiffrement se charge de le crypter avant qu’il ne soit stocké sur les serveurs de Facebook. Sans ce logiciel, impossible de lire le mot de passe. Sauf que cette étape n’a pas été respectée, et que depuis sept ans, des centaines de millions d’utilisateurs avaient leur mot de passe visible de tout le monde chez Facebook !

« Dans le cadre d’une procédure de routine en janvier, nous avons constaté que certains mots de passe étaient stockés dans un format lisible dans nos systèmes de stockage de données internes », écrit Pedro Canahuati, vice-président de Facebook dans un communiqué. Nos systèmes sont conçus pour masquer les mots de passe en utilisant des techniques qui les rendent indéchiffrables. Pour être clair, ces mots de passe n’ont jamais été visibles de quiconque en dehors de Facebook et nous n’avons trouvé aucune preuve à ce jour que quelqu’un y ait accédé ou les a compromis en interne. »

Facebook a décidé de ne pas réinitialiser les mots de passe concernés, et laisse donc le choix aux utilisateurs de les modifier, ou pas. Dans le détail, cela concerne plusieurs centaines de millions d’utilisateurs de Facebook Lite, des dizaines de millions de membres de Facebook, et enfin des dizaines de milliers d’abonnés à Instagram.