Des centaines de millions de mots de passe étaient stockés en clair dans des systèmes de stockage interne à Facebook. Si le géant assure que le problème n’est pas vraiment de son fait, Brian Krebs, lui, dévoile, source à l’appui, qu’il ne s’agit pas d’une erreur.
Après que Brian Krebs ait levé le lièvre, Facebook s’est fendu d’un communiqué. Comme le dévoile le chercheur, le géant stockait effectivement « certains mots de passe d'utilisateurs dans un format lisible dans nos systèmes de stockage de données internes ». Oups… Pedro Canahuati, le vice-président Engineering, Security and Privacy du réseau social, explique que c’est au cours d’un examen de sécurité de routine en janvier que cette « erreur » a été découverte. « Cela a attiré notre attention parce que nos systèmes de connexion sont conçus pour masquer les mots de passe en utilisant des techniques qui les rendent illisibles ».
Facebook ne précise pas les raisons pour lesquelles ces mots de passe étaient stockés en clair, mais semble insister sur l’aspect « fortuit » du problème. Un bug, sans aucun doute. Mais, s’empresse de préciser Pedro Canahuati, « pour être clair, ces mots de passe n’ont jamais été visibles par des personnes en dehors de Facebook et nous n’avons trouvé aucune preuve à ce jour que quelqu’un en interne aurait utilisé ou accédé à ces informations de manière abusive ». Le problème est désormais réglé et il ne reste plus qu’à notifier « des centaines de millions d'utilisateurs de Facebook Lite, des dizaines de millions d'autres utilisateurs de Facebook et des dizaines de milliers d'utilisateurs d'Instagram ».
Bug ?
Mais du côté de Brian Krebs, c’est un tout autre son de cloche qui se fait entendre. Le célèbre chercheur a en effet eu droit aux indiscrétions d’une source internet à Facebook, qui lui révèle que « les employés créaient des applications qui enregistraient les données de mots de passe non chiffrées et les stockaient en texte brut sur les serveurs internes de l’entreprise ». L’enquête de Facebook, loin d’être routinière, porterait spécifiquement sur ces problèmes de sécurité.
Les investigations du géant aurait pour l’heure permis d’estimer entre 200 et 600 millions le nombre d'utilisateurs de Facebook, Facebook Lite et Instagram dont le mot de passe était stocké en clair et librement consultable… par quelques 20 000 employés de Facebook. La source de Brian Krebs indique que certaines archives de mots de passe en clair remontent à 2012. « Ma source chez Facebook a déclaré que les journaux d'accès indiquaient que 2 000 ingénieurs ou développeurs avaient effectué environ 9 millions de requêtes internes concernant des éléments de données contenant des mots de passe utilisateur en texte brut ».
En outre, Facebook explique avoir également « examiner la manière dont nous stockons certaines autres catégories d’informations - comme les jetons d’accès – et avoir corrigé les problèmes découverts ». Attendez une petite minute… les jetons d’accès ? Ceux-là même qu’une série de vulnérabilités avait compromis pour quelque 29 millions de comptes, permettant le vol de leurs données par des attaquants ? Le piratage avait été dévoilé en octobre dernier par Facebook. Le stockage des jetons d’accès était-il encore défaillant six mois plus tard ?