Meta a continué de rendre les mots de passe Facebook visibles par ses employés

En 2019, Facebook, devenu Meta, était déjà épinglé pour avoir stocké des centaines de millions de mots de passe utilisateurs en clair. Ces derniers étaient visibles par les ingénieurs de l’entreprise. Malgré les promesses de la firme, le problème a persisté.

L’enquête de la Commission irlandaise de protection des données (DPC), lancée suite à cette révélation, a duré 5 ans. Elle révèle aujourd’hui que plus de 600 millions de mots de passe Facebook et Instagram sont restés accessibles en texte brut pendant toute cette période, certains depuis plus de 10 ans.

Meta Ireland épinglé par le RGPD

Suite à une investigation qui a duré une demi-décennie, la DPC inflige une amende de 101,5 millions de dollars à Meta Ireland pour violation du Règlement général sur la protection des données (RGPD).

Selon Graham Doyle, commissaire adjoint de la DPC, le stockage de mots de passe en clair est unanimement réprouvé, compte tenu des risques d’abus en cas d’accès non autorisé. Il souligne la sensibilité particulière de ces données, qui permettent l’accès aux comptes des réseaux sociaux des utilisateurs.

Notons également le fait que beaucoup d’utilisateurs choisissent le même mot de passe pour beaucoup des applications qu’ils utilisent. Cela n’est pas sans rappeler l’étude qui montrait le manque de vigilance de la majorité des utilisateurs français sur la toile. Donc une personne mal intentionnée aurait pu avoir accès à bien plus qu’un compte Facebook.

Des ingénieurs avaient accès aux données

Bien que Meta ait assuré que les mots de passe n’étaient pas accessibles en dehors de l’entreprise, elle a admis qu’environ 2 000 ingénieurs avaient effectué quelque 9 millions de requêtes sur cette base de données utilisateurs. Les détails de la décision de la DPC n’ont pas encore été rendus publics, laissant planer le doute sur l’étendue géographique de cette faille de sécurité.

Il est probable qu’elle concerne principalement les utilisateurs non américains, Meta ayant précisé en 2019 que la majorité des mots de passe en clair provenaient de Facebook Lite, son application allégée destinée aux régions du monde avec une connectivité plus lente.