Honnêtement, cela résume si bien ce que cela semble être, du moins de l’extérieur, au siège de Facebook en ce moment.
« travailler sur facebook, c’est comme vivre le Sideshow Bob marchant sur des râteaux GIF » – employé FB, pour moi
– roi des rats (@MikeIsaac) 21 mars 2019
Le dernier « rake » de Facebook se présente sous la forme d’un stockage de mots de passe – ou plus précisément d’un stockage de mots de passe interne inadéquat, qui aurait facilement pu ouvrir des millions de comptes à des pirates.
Comme expliqué par Facebook:
«Dans le cadre d’un examen de sécurité de routine en janvier, nous avons constaté que certains mots de passe utilisateur étaient stockés dans un format lisible dans nos systèmes de stockage de données internes. Cela a attiré notre attention car nos systèmes de connexion sont conçus pour masquer les mots de passe à l’aide de techniques qui les rendent illisibles. . Nous avons résolu ces problèmes et en tant que précaution nous informerons toutes les personnes dont les mots de passe que nous avons trouvés ont été stockés de cette manière. «
Ce « format lisible » était en texte brut, utilisé en interne par les employés de Facebook. Pour une raison inexpliquée, Facebook avait utilisé cette liste pour certaines tâches – Facebook dit qu’il n’y a aucune preuve que les données ont été partagées avec quiconque en dehors de Facebook, et qu’ils ne pourraient pas lire les informations si c’était le cas, mais cela a été le cas. accessible à quelque 2 000 ingénieurs et développeurs internes, ce qui est une vulnérabilité considérable.
« Pour être clair, ces mots de passe n’ont jamais été visibles par quiconque en dehors de Facebook et nous n’avons trouvé à ce jour aucune preuve que quiconque les ait abusés en interne ou y ait mal accédé. Nous estimons que nous informerons des centaines de millions d’utilisateurs de Facebook Lite, des dizaines de millions de d’autres utilisateurs de Facebook et des dizaines de milliers d’utilisateurs d’Instagram. Facebook Lite est une version de Facebook principalement utilisée par des personnes vivant dans des régions à faible connectivité. «
Qualificatif intéressant dans la dernière ligne – « ne vous inquiétez pas, ce sont surtout les pauvres qui ont été touchés ».
Selon le chercheur en sécurité Web Brian Krebs, le nombre réel de comptes concernés est d’environ 600 millions, soit un cinquième des 2,7 milliards d’utilisateurs de la société sur Facebook et Instagram, bien que Facebook n’ait confirmé aucun chiffre officiel à ce stade.
Mais même sans confirmation officielle, c’est dans les millions – Facebook avait une forme de texte brut qui répertorie des millions de mots de passe d’utilisateurs, qui pourraient, potentiellement, avoir été utilisés par des pirates. Il n’y a aucune preuve que cela se produise, mais encore une fois, c’était une vulnérabilité, et Facebook prend maintenant des mesures pour y remédier.
Dans ses notes sur la découverte, Krebs dit que d’autres plates-formes comme Github et Twitter ont également utilisé des documents en texte brut pour stocker des mots de passe dans le passé pour aider aux fonctions internes, mais dans ces cas, les informations étaient disponibles pour un nombre relativement restreint de personnes au sein de chaque organisation, et pour des périodes beaucoup plus courtes. La liste en texte brut de Facebook remonte à 2012, selon la source de Krebs.
Même s’il n’y a aucune preuve que ces informations ont été partagées au-delà de Facebook, au mieux, c’est un autre casse-tête pour l’entreprise, un autre incident qui soulève des questions sur sa capacité à traiter des informations sensibles et à gérer la confidentialité des utilisateurs.
Dans sa reconnaissance du problème, Facebook déclare que:
« Il n’y a rien de plus important pour nous que de protéger les informations des gens, et nous continuerons d’apporter des améliorations dans le cadre de nos efforts de sécurité continus sur Facebook. »
Ce qui, à ce stade, est tout ce que vous pouvez demander – mais quand même, couplé au scandale Cambridge Analytica, à la découverte de divers bugs qui ont exposé des éléments des comptes Facebook de personnes à des pirates informatiques, et plus récemment, à la révélation que Facebook a utilisée les numéros de téléphone des personnes – téléchargés à des fins de sécurité – à des fins de découverte et de ciblage, cela ne donne pas une image d’un processus stable et sécurisé sur la plateforme de médias sociaux la plus utilisée au monde.
Est-ce que ce sera la goutte d’eau qui suscitera une plus grande réglementation, qui incitera les groupes gouvernementaux à agir et à imposer des contrôles plus stricts sur le processus de Facebook? Même si ce n’est pas le cas, c’est un autre poids important suspendu de l’autre côté de la balance pour Zuck and Co.
