Facebook a indiqué qu'il n'y avait aucune preuve que ses employés abusaient de l'accès à ces données.

Facebook a laissé des millions de mots de passe à la vue de ses employés

SAN FRANCISCO — Facebook a reconnu jeudi que les mots de passe de millions de ses utilisateurs avaient été accessibles par ses employés pendant des années, après qu'un chercheur en sécurité eut exposé ce problème dans une publication en ligne.

«La règle de sécurité 101 stipule qu'en aucun cas les mots de passe ne doivent être stockés en texte brut et doivent toujours être cryptés», a observé Andrei Barysevich, expert en cybersécurité pour Recorded Future. «Il n'y a aucune raison valable pour que quiconque dans une organisation, particulièrement de la taille de Facebook, ait besoin d'accéder aux mots de passe des utilisateurs en texte brut.»

Facebook a indiqué qu'il n'y avait aucune preuve que ses employés abusaient de l'accès à ces données. Mais des milliers d'employés auraient pu les fouiller. Le réseau social a précisé que les mots de passe étaient stockés sur des serveurs internes à la société, où aucun accès extérieur ne pouvait avoir lieu. Mais l'incident révèle une énorme omission pour l'entreprise, dont le profil a été miné par une série de pépins et de lacunes ces deux dernières années.

Le blogue sur la sécurité «KrebsOnSecurity» a indiqué que les mots de passe de quelque 600 millions d'utilisateurs de Facebook auraient pu être stockés en texte brut. Facebook a affirmé jeudi dans un article de blogue qu'il allait probablement informer des «centaines de millions» d'utilisateurs de Facebook Lite, des millions d'utilisateurs de Facebook et des dizaines de milliers d'utilisateurs d'Instagram que leurs mots de passe avaient été stockés en texte brut.

Facebook Lite est conçu pour les utilisateurs de téléphones plus anciens ou de connexions internet à faible vitesse et est principalement utilisé dans les pays en développement.

Facebook a affirmé avoir découvert le problème en janvier. Cependant, selon le chercheur en sécurité Brian Krebs, dans certains cas, les mots de passe étaient stockés en texte clair depuis 2012. Facebook Lite a été lancé en 2015 et Facebook a acheté Instagram en 2012.

M. Barysevich ne se souvient d'aucune grande entreprise qui aurait été surprise à laisser autant de mots de passe ainsi exposés. Il a ajouté avoir été témoin d'un certain nombre de cas où des organisations beaucoup plus petites avaient rendu ces informations facilement accessibles non seulement aux programmeurs, mais également aux équipes de soutien à la clientèle.