Le groupe Meta (Facebook, Instagram, WhatsApp) fait face à une nouvelle sanction. L’entreprise a été condamnée par la Data Protection Commission (DPC) irlandaise à payer une amende de 91 millions euros (101 millions de dollars) pour avoir stocké des centaines de millions de mots de passe d’utilisateurs en texte clair. Cette pratique, contraire aux règles fondamentales de la cybersécurité, a mis en danger la confidentialité des données de ses utilisateurs. Si cette sanction parait importante sur le papier, elle est dérisoire aux yeux d’un géant comme Méta qui choisit délibérément de demeurer dans l’illégalité. La question de la confidentialité des données stockées par Facebook, devenue Meta, a longtemps suscité des débats. On se rappelle de l’affaire Cambridge Analytica, une agence ayant exploité des données personnelles collectées par le géant américain, vraisemblablement pour des analyses électorales.
L’incident remonte à 2019, lorsque Meta a révélé que des mots de passe d’utilisateurs avaient été stockés en texte clair et accessibles à environ 2 000 ingénieurs de l’entreprise. Ces ingénieurs auraient interrogé la base de données contenant ces mots de passe plus de 9 millions de fois. Même si Meta affirme qu’aucune fuite de données n’a été découverte, cette situation soulève de graves questions sur les pratiques de sécurité de l’entreprise.
Un non-respect des règles de stockage des mots de passe
Depuis plusieurs années, les lois et réglementations dans les différents pays du monde ont imposé l’application du hachage lors du stockage des mots de passe des utilisateurs sur les divers sites web. Le principe est de hacher les mots de passe grâce à un algorithme cryptographique unidirectionnel, qui va attribuer une série de caractères unique à chaque texte saisi.
Les schémas de hachage doivent répondre à des normes spécifiques. Ainsi, il faut utiliser des algorithmes spécifiques à l’instar de Bcrypt, SHA512crypt et PBKDF2. Ils sont lents et ils utilisent une forte quantité de mémoire et de traitement. Aucun algorithme ne permet de retranscrire les hachages en texte brut. La seule manière d’y arriver, c’est de deviner. Or, une telle démarche exige du temps et de nombreuses ressources informatiques.
Les algorithmes de hachage doivent également comporter un « salage » cryptographique. Ainsi, des caractères supplémentaires sont ajoutés au texte avant le hachage. Toutes ces exigences ont été instaurées afin de rendre plus complexe le processus de déchiffrage des mots de passe hachés. Elles réduisent ainsi les risques de pirates informatiques.
Mais en 2019, Meta a révélé que les applications de connexion à ses divers réseaux sociaux n’ont pas respecté ces règles. En effet, elles n’ont pas utilisé des algorithmes de hachage. Les mots de passe des utilisateurs ont donc été stockés en texte clair. De plus, ils ont été placés dans une base de données qu’environ 2.000 ingénieurs de l’entreprise pouvaient consulter à plus de 9 millions de fois.
Manquement à l’obligation d’assurer la sécurité des données
Selon responsables de Meta, cette erreur a été découverte au cours d’un examen de sécurité de routine concernant les pratiques de stockage des données du réseau interne de la société. Ils ont indiqué que personne n’avait accédé de manière inappropriée aux mots de passe. Ils ont aussi assuré qu’aucun individu à l’extérieur de la société n’a eu accès à ces données.
En dépit de tout cela, Meta a commis une erreur majeure. Lorsque la société a révélé cette faille de sécurité, elle a mis en évidence son incapacité à protéger les centaines de millions de mots de passe des internautes qui ont utilisé ses plateformes de médias sociaux.
Selon le commissaire adjoint à la Commission irlandaise de protection des données, la Cnil irlandaise , Graham Doyle,
« il est largement admis que les mots de passe des utilisateurs ne doivent pas être stockés en clair, compte tenu des risques d’abus liés à l’accès à ces données par des personnes ». « Il faut garder à l’esprit que les mots de passe, qui font l’objet de l’examen dans ce cas, sont particulièrement sensibles, car ils permettraient d’accéder aux comptes de médias sociaux des utilisateurs ».
Suite à la révélation faite par Meta, la Commission irlandaise a mené une enquête. Cette semaine, elle a infligé une sanction lourde à l’entreprise. Meta doit payer une amende de 101 millions de dollars, soit 91 millions d’euros. Cette sanction, davantage symbolique que véritablement dissuasive, représente une goutte d’eau dans l’océan des bénéfices de Méta, estimés à à 13,5 milliards de dollars au deuxième trimestre 2024.
