Les autorités irlandaises ont infligé une amende de 101 millions de dollars à Meta pour avoir stocké des centaines de millions de mots de passe d’utilisateurs en clair et les avoir mis à la disposition des employés de la société.
Meta a révélé la faille au début de l’année 2019. La société a déclaré que les Applications permettant de se connecter à divers réseaux sociaux appartenant à Meta avaient enregistré les mots de passe des utilisateurs en clair et les avaient stockés dans une base de données qui avait été consultée par environ 2 000 ingénieurs de la société, qui ont collectivement interrogé la cachette plus de 9 millions de fois.
Meta fait l’objet d’une enquête depuis cinq ans
Les responsables de Meta ont déclaré à l’époque que l’erreur avait été découverte lors d’un examen de routine des pratiques de Stockage des données du Réseau interne de l’entreprise. Ils ont ajouté qu’ils n’avaient trouvé aucune preuve que quelqu’un en interne ait accédé de manière inappropriée aux codes d’accès ou que les codes d’accès aient été accessibles à des personnes extérieures à l’entreprise.
Malgré ces assurances, la divulgation a mis en évidence une défaillance majeure de la Sécurité de la part de Meta. Depuis plus de trente ans, les meilleures pratiques dans presque tous les secteurs d’activité consistent à hacher cryptographiquement les mots de passe. Le hachage est un terme qui s’applique à la pratique consistant à faire passer les mots de passe par un algorithme cryptographique à sens unique qui attribue une longue chaîne de caractères unique pour chaque entrée unique de texte en clair.
Comme la conversion ne se fait que dans un sens (du texte en clair au hachage), il n’existe aucun moyen cryptographique de reconvertir les hachages en texte en clair. Plus récemment, ces meilleures pratiques ont été imposées par des lois et des règlements dans des pays du monde entier.
Les Algorithmes de hachage fonctionnant dans un seul sens, le seul moyen d’obtenir le texte en clair correspondant est de deviner, un processus qui peut nécessiter beaucoup de temps et de ressources informatiques. L’idée qui sous-tend le hachage des mots de passe est similaire à celle de l’assurance incendie pour une maison. En cas d’urgence – le piratage d’une base de données de mots de passe dans un cas, ou l’incendie d’une maison dans l’autre – la protection isole la partie prenante d’un dommage qui, autrement, aurait été plus grave.
Pour que les systèmes de hachage fonctionnent comme prévu, ils doivent respecter une série d’exigences. L’une d’entre elles est que les algorithmes de hachage doivent être conçus de manière à nécessiter de grandes quantités de ressources informatiques. Des algorithmes tels que SHA1 et MD5 ne conviennent donc pas, car ils sont conçus pour hacher rapidement des messages avec un minimum de ressources informatiques. En revanche, les algorithmes spécifiquement conçus pour le hachage des mots de passe, tels que Bcrypt, PBKDF2 ou SHA512crypt, sont lents et consomment de grandes quantités de mémoire et de traitement.
Une autre exigence est que les algorithmes doivent inclure un “salage” cryptographique, dans lequel une petite quantité de caractères supplémentaires est ajoutée au mot de passe en clair avant qu’il ne soit haché. Le salage augmente encore la charge de travail nécessaire pour décrypter le hachage. Le craquage consiste à faire passer un grand nombre de suppositions, souvent mesurées en centaines de millions, par l’algorithme et à comparer chaque hachage au hachage trouvé dans la base de données violée.
Le but ultime du hachage est de stocker les mots de passe uniquement sous forme hachée et jamais en clair. Cela empêche les pirates et les initiés malveillants d’utiliser les données sans devoir d’abord dépenser de grandes quantités de ressources.
Lorsque Meta a révélé la faille en 2019, il était clair que l’entreprise n’avait pas réussi à protéger de manière adéquate des centaines de millions de mots de passe.
“Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en clair, compte tenu des risques d’abus qui découlent de l’accès à ces données par des personnes”, a déclaré Graham Doyle, commissaire adjoint à la Commission irlandaise de protection des données. “Il faut garder à l’esprit que les mots de passe, qui font l’objet d’un examen dans cette affaire, sont particulièrement sensibles, car ils permettraient d’accéder aux comptes de médias sociaux des utilisateurs.
La Commission enquête sur cet incident depuis que Meta l’a révélé il y a plus de cinq ans. L’organisme gouvernemental, principal régulateur de l’Union européenne pour la plupart des services Internet américains, a imposé une amende de 101 millions de dollars (91 millions d’euros) cette semaine. À ce jour, l’UE a infligé à Meta une amende de plus de 2,23 milliards de dollars (2 milliards d’euros) pour violation du règlement général sur la protection des données (RGPD), entré en vigueur en 2018. Ce montant comprend l’amende record de 1,34 milliard de dollars (1,2 milliard d’euros) de l’année dernière, dont Meta fait appel.
Jad MARCHI est un ardent défenseur de la technologie, passionné par son potentiel de transformation. Ayant accumulé une décennie d’expérience dans le secteur technologique, Jean a travaillé sur une variété de projets innovants qui l’ont amené à comprendre le paysage changeant de ce domaine. Il est fasciné par l’évolution rapide de la technologie et son impact sur notre société. Que ce soit l’intelligence artificielle, la robotique, la blockchain ou la cybersécurité, il est toujours à la recherche des dernières tendances. Ses articles cherchent à informer, à inspirer et à provoquer des réflexions sur la façon dont la technologie façonne notre avenir.