Move fast & break things

Ooops… Facebook oublie de chiffrer des centaines de millions de mots de passe

Facebook a laissé des centaines de millions de mots de passe sans chiffrement stockés dans ses systèmes internes. Le réseau social a découvert le problème lors d’un examen de routine.

Facebook a stocké en clair les mots de passe de plusieurs centaines de millions de ses membres. Dépourvus de chiffrement, ils étaient visibles par les collaborateurs de Facebook ayant accès à ses systèmes de stockage. L’information a été révélée par le blog spécialisé Krebs on Security puis confirmée par le réseau social, qui va avertir les utilisateurs concernés.

«Dans le cadre d’un examen de sécurité de routine effectué en janvier, nous avons constaté que certains mots de passe d'utilisateur étaient stockés dans un format lisible dans nos systèmes internes de stockage des données. Cela a retenu notre attention parce que nos systèmes de connexion sont conçus pour masquer les mots de passe en utilisant des techniques qui les rendent illisibles», explique dans un billet Pedro Canahuati, VP Engineering, Security and Privacy chez Facebook. Le réseau social utilise normalement diverses techniques cryptographiques (salage, hachage, etc.) qui lui permettent de valider un login sans conserver le mot de passe en clair.

Manque de rigueur

Il semble ainsi que des développeurs de Facebook ont contourné les consignes de l’entreprise en matière de chiffrement. Une mésaventure qu’auraient également connue par le passé Github et Twitter. Pour Steven Meyer, de la société romande ZENData, il est possible que le problème résulte du mode debug employé lors du développement d’un nouveau produit, et qui permet de garder une trace complète de toutes les actions et activités des utilisateurs. «Quelle que soit la taille de l'entreprise, les développeurs sont toujours tentés de se faciliter la vie en simplifiant les règles de sécurité de base», commente de son côté Bob Diachenko, expert en cybersécurité chez Security Discovery au site Threatpost. On ne s’en étonnera pas chez une entreprise qui a pour devise «move fast and break things».

Facebook assure que le problème est résolu, que les mots de passe n’ont jamais été visibles à l’extérieur et que rien n’indique qu’un collaborateur interne y ait accédé. Une information qui contredit Krebs on Security qui parle de logs montrant que 2000 ingénieurs ont procédé à 9 millions de requêtes sur des éléments contenant les mots de passe en texte clair.

Tags
Webcode
DPF8_131631