Facebook a déclaré jeudi que des millions de mots de passe de comptes d’utilisateurs avaient été stockés de manière non sécurisée, permettant potentiellement aux employés d’accéder aux comptes des personnes à leur insu.
La société de la Silicon Valley a annoncé la défaillance de la sécurité à peu près au même moment où Brian Krebs, rédacteur en cybersécurité, avait signalé la vulnérabilité du mot de passe. M. Krebs a déclaré qu’un audit de Facebook avait révélé que des centaines de millions de mots de passe d’utilisateurs datant de 2012 étaient stockés dans un format appelé texte brut, ce qui rend les mots de passe lisibles par plus de 20 000 employés de l’entreprise.
Facebook a déclaré qu’il n’avait trouvé aucune preuve d’abus et qu’il commencerait à alerter des millions d’utilisateurs et des milliers d’utilisateurs Instagram du problème. La société a déclaré que les personnes ne seraient pas obligées de réinitialiser leurs mots de passe.
L’échec de la sécurité est un autre embarras pour Facebook, un colosse de 470 milliards de dollars qui emploie certains des experts en cybersécurité les plus recherchés du secteur. Cela s’ajoute à la liste croissante de scandales de données qui ont terni la réputation de Facebook au cours des dernières années. L’année dernière, parmi les révélations selon lesquelles un cabinet de conseil politique aurait eu indûment accès aux données de millions de personnes , Facebook a également révélé qu’une attaque sur son réseau avait révélé les informations personnelles de dizaines de millions d’utilisateurs .
En réponse, la société a déclaré à plusieurs reprises son intention d’améliorer la protection des données des personnes.
« Il n’y a rien de plus important pour nous que de protéger les informations des personnes, et nous continuerons à apporter des améliorations dans le cadre de nos efforts de sécurité en cours sur Facebook », a déclaré Pedro Canahuati, vice-président de l’ingénierie en sécurité et confidentialité de Facebook .
Voici un aperçu de ce que vous devez savoir sur la vulnérabilité du mot de passe et ce que vous pouvez faire.
Quel est le problème?
Stocker les mots de passe en texte brut est une pratique de sécurité médiocre. Cela laisse les mots de passe largement ouverts aux cyberattaques ou aux abus potentiels des employés. Une meilleure pratique de sécurité aurait été de conserver les mots de passe dans un format crypté et indéchiffrable.
Facebook a déclaré qu’il n’avait pas trouvé de preuve d’abus, mais cela ne veut pas dire que cela ne s’est pas produit. Citant un initié de Facebook, M. Krebs a déclaré que les enregistrements d’accès avaient révélé que 2 000 ingénieurs ou développeurs avaient effectué neuf millions de requêtes pour des données contenant des mots de passe utilisateur en texte brut.
Un employé de Facebook aurait pu partager votre mot de passe avec une autre personne qui aurait alors un accès inapproprié à votre compte, par exemple. Ou bien un employé aurait pu lire votre mot de passe et l’utiliser pour vous connecter à un autre site sur lequel vous utilisiez le même mot de passe. Il y a beaucoup de possibilités.
En fin de compte, une entreprise aussi grande, riche et dotée d’un personnel suffisant que Facebook aurait dû mieux se connaître.
Comment savoir si quelqu’un a eu accès à mon compte?
Il n’y a pas de moyen facile de savoir. Facebook enquête toujours et commencera à alerter les personnes dont le mot de passe aurait pu être stocké au format texte.
Que devrais-je faire?
Facebook ne demande pas aux utilisateurs de changer leurs mots de passe, mais vous devriez le faire quand même.
Il existe de nombreuses méthodes pour définir des mots de passe forts. Par exemple, n’utilisez pas le même mot de passe sur plusieurs sites et n’utilisez pas votre numéro de sécurité sociale en tant que nom d’utilisateur ou mot de passe. Vous pouvez également configurer des fonctionnalités de sécurité telles que la vérification en deux étapes.
Il y a quelques autres mesures à prendre. Je recommande également de configurer votre compte Facebook pour recevoir des alertes dans le cas où un appareil non reconnu se connecte au compte. Pour ce faire, accédez aux paramètres de votre application Facebook, appuyez sur Sécurité et connexion, puis sur Recevoir des alertes concernant les connexions non reconnues. À partir de là, vous pouvez choisir de recevoir les alertes via des messages, des courriels ou des notifications.
Un audit des appareils connectés à votre compte peut également être en ordre, de sorte que vous sachiez quels ordinateurs portables, téléphones et autres gadgets ont déjà accès à votre compte. Sur la page Sécurité et connexion de Facebook , sous l’onglet « Où vous êtes connecté », vous pouvez voir une liste des appareils connectés à votre compte, ainsi que leurs emplacements.
Si vous voyez un gadget inconnu ou un appareil connecté depuis un emplacement étrange, vous pouvez cliquer sur le bouton “Supprimer” pour démarrer l’appareil à partir de votre compte.
