Facebook a corrigé un bogue qui stockait les mots de passe de plusieurs de ses utilisateurs en texte clair et les rendait visibles pour les employés du réseau social.
« Dans le cadre d'un examen de routine de la sécurité en janvier, nous avons constaté que certains mots de passe d'utilisateur étaient stockés dans un format lisible dans nos systèmes internes de stockage de données, » indique Pedro Canahuati, vice-président de Facebook pour l'ingénierie, la sécurité et la confidentialité, dans une déclaration publiée jeudi dernier.
On estime que la faille a affecté les mots de passe de « centaines de millions d'utilisateurs de Facebook Lite, de dizaines de millions d'autres utilisateurs de Facebook et de dizaines de milliers d'utilisateurs d'Instagram. »
Fait important, le géant des médias sociaux déclare que les mots de passe n'ont jamais été exposés à quiconque en dehors de l'entreprise et qu'il n'a détecté aucun abus du bogue.
Entre-temps, un rapport du journaliste de la sécurité Brian Krebs, publié avant la déclaration de Facebook, jette un peu plus de lumière sur la question.
Citant un employé supérieur de Facebook, M. Krebs a écrit que jusqu'à 600 millions de personnes pourraient avoir été affectées par le bogue, qui a laissé leurs mots de passe consultables par plus de 20 000 employés de Facebook. Au moins certains mots de passe auraient été stockés de manière peu sécuritaire dès 2012. « Mon informateur à propos Facebook m'a dit que les journaux d'accès montraient que quelque 2 000 ingénieurs ou développeurs avaient effectué environ neuf millions de requêtes internes pour des éléments de données contenant des mots de passe en texte clair pour les utilisateurs », écrit Krebs. Il explique que le problème découle d’ingénieurs de Facebook ayant conçu des applications internes qui, par inadvertance, ont enregistré des mots de passe non chiffrés.
Facebook a déclaré dans la déclaration qu'il avertira tous les utilisateurs affectés par le bogue, mais qu'il ne leur demandera pas de changer leur mot de passe.
Ainsi, Krebs cite Scott Renfro, ingénieur logiciel sur Facebook, qui déclare que l'entreprise cherchait à forcer la réinitialisation des mots de passe uniquement « dans les cas où il y avait des signes évidents d'abus. » Ce n'est pas le cas sur Facebook.
Néanmoins, cela pourrait bien ne pas suffire à dissiper vos inquiétudes. Dans ce cas, vous pouvez changer votre mot de passe et activer l'authentification à deux facteurs, afin de bénéficier d’un niveau de sécurité supplémentaire.