Les autorités irlandaises ont infligé à Meta une amende de 101 millions de dollars pour avoir stocké des centaines de millions de mots de passe d’utilisateurs en clair et les avoir rendus largement accessibles aux employés de l’entreprise.
Meta a révélé cette faille au début de 2019. La société a expliqué que des applications permettant de se connecter à divers réseaux sociaux détenus par Meta avaient enregistré les mots de passe des utilisateurs en clair et les avaient stockés dans une base de données consultée par environ 2 000 ingénieurs de l’entreprise, qui ont collectivement interrogé cette base plus de 9 millions de fois.
Meta sous enquête pendant cinq ans
Les responsables de Meta avaient déclaré à l’époque que l’erreur avait été découverte lors d’un examen de sécurité de routine des pratiques de stockage des données internes de l’entreprise. Ils ont ajouté qu’aucune preuve n’avait été trouvée indiquant que quiconque à l’intérieur de l’entreprise avait eu un accès inapproprié aux codes d’accès, ou que ces codes avaient jamais été accessibles à des personnes extérieures à l’entreprise.
Malgré ces assurances, la divulgation a révélé un échec de sécurité majeur de la part de Meta. Depuis plus de trois décennies, les meilleures pratiques dans presque tous les secteurs préconisent le hachage cryptographique des mots de passe. Le hachage est le terme utilisé pour décrire la pratique consistant à passer des mots de passe par un algorithme cryptographique unidirectionnel qui assigne une longue chaîne de caractères unique pour chaque entrée de texte en clair.
Puisque la conversion ne fonctionne que dans un sens—du texte clair vers le hachage—il n’existe aucun moyen cryptographique de convertir les hachages en texte clair. Plus récemment, ces meilleures pratiques ont été imposées par des lois et des règlements dans des pays du monde entier.
Étant donné que les algorithmes de hachage ne fonctionnent que dans un sens, la seule manière d’obtenir le texte clair correspondant est de deviner, un processus qui peut nécessiter de grandes quantités de temps et de ressources de calcul. L’idée derrière le hachage des mots de passe est similaire à celle de l’assurance incendie pour une maison. En cas d’urgence—le piratage d’une base de données de mots de passe dans un cas, ou un incendie de maison dans l’autre—la protection isole le propriétaire du risque qui aurait autrement été bien plus grave.
Pour que les schémas de hachage fonctionnent comme prévu, ils doivent suivre un certain nombre d’exigences. Une de ces exigences est que les algorithmes de hachage doivent être conçus de telle manière qu’ils nécessitent de grandes quantités de ressources informatiques. Cela rend des algorithmes tels que SHA1 et MD5 inadaptés, car ils sont conçus pour hacher rapidement les messages avec un minimum de calcul requis. En revanche, des algorithmes spécifiquement conçus pour le hachage des mots de passe, comme Bcrypt, PBKDF2 ou SHA512crypt, sont lents et consomment de grandes quantités de mémoire et de ressources de traitement.
Une autre exigence est que les algorithmes doivent inclure un “salage” cryptographique, où une petite quantité de caractères supplémentaires est ajoutée au mot de passe en clair avant qu’il soit haché. Ce salage augmente encore la charge de travail nécessaire pour cracker le hachage. Cracker est le processus qui consiste à passer un grand nombre de suppositions, souvent mesuré en centaines de millions, par l’algorithme et à comparer chaque hachage avec le hachage trouvé dans la base de données piratée.
L’objectif ultime du hachage est de stocker les mots de passe uniquement sous forme hachée et jamais en clair. Cela empêche les pirates informatiques et les initiés malveillants d’utiliser les données sans avoir d’abord à déployer de grandes quantités de ressources.
Lorsque Meta a révélé la faille en 2019, il était clair que l’entreprise n’avait pas réussi à protéger adéquatement des centaines de millions de mots de passe.
“Il est largement reconnu que les mots de passe des utilisateurs ne doivent pas être stockés en clair, compte tenu des risques d’abus que posent les personnes ayant accès à de telles données,” a déclaré Graham Doyle, commissaire adjoint à la Commission irlandaise de protection des données. “Il faut garder à l’esprit que les mots de passe concernés dans ce cas sont particulièrement sensibles, car ils permettraient l’accès aux comptes de réseaux sociaux des utilisateurs.”
La commission enquête sur cet incident depuis que Meta l’a divulgué il y a plus de cinq ans. L’organisme gouvernemental, principal régulateur de l’Union européenne pour la plupart des services Internet américains, a imposé une amende de 101 millions de dollars (91 millions d’euros) cette semaine. À ce jour, l’UE a infligé à Meta plus de 2,23 milliards de dollars (2 milliards d’euros) pour des violations du Règlement général sur la protection des données (RGPD), qui est entré en vigueur en 2018. Montant qui inclut l’amende record de 1,34 milliard de dollars (1,2 milliard d’euros) infligée l’année dernière, que Meta conteste.
En tant que journaliste, je constate l’importance cruciale de la sécurité des données dans notre époque numérique. Cet incident souligne non seulement les responsabilités des grandes entreprises vis-à-vis des données utilisateur, mais aussi l’urgence d’adopter des procédures de sécurité robustes pour prévenir de telles violations à l’avenir.