Pour que les schémas de hachage fonctionnent comme prévu, ils doivent répondre à un certain nombre d’exigences. L’une d’elles est que les algorithmes de hachage doivent être conçus de manière à nécessiter de grandes quantités de ressources informatiques. Cela rend les algorithmes tels que SHA1 et MD5 inadaptés, car ils sont conçus pour hacher rapidement des messages avec un minimum de ressources. En revanche, les algorithmes spécifiquement conçus pour le hachage des mots de passe — tels que Bcrypt, PBKDF2 ou SHA512crypt — sont lents et consomment beaucoup de mémoire et de puissance de traitement.
Une autre exigence est que les algorithmes doivent inclure un « salage » cryptographique, qui consiste à ajouter un petit nombre de caractères supplémentaires au mot de passe en clair avant qu’il ne soit haché. Cette technique augmente encore la charge de travail nécessaire pour casser le hachage. La cassure est le processus consistant à soumettre un grand nombre de tentatives, souvent mesurées en centaines de millions, à l’algorithme et à comparer chaque hachage avec celui trouvé dans la base de données pirate.
Le but ultime du hachage est de stocker les mots de passe uniquement sous forme hachée et jamais en clair. Cela empêche les pirates informatiques et les employés malveillants d’utiliser les données sans avoir d’abord dépensé de grandes quantités de ressources.
Lorsque Meta a dévoilé cette faille en 2019, il était clair que l’entreprise n’avait pas réussi à protéger adéquatement des centaines de millions de mots de passe.
« Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en clair, compte tenu des risques d’abus qui découlent de l’accès à de telles données », a déclaré Graham Doyle, commissaire adjoint à la Commission de protection des données de l’Irlande. « Il faut garder à l’esprit que les mots de passe concernés dans ce cas sont particulièrement sensibles, car ils permettraient d’accéder aux comptes de médias sociaux des utilisateurs. »
La commission enquête sur cet incident depuis que Meta l’a révélé il y a plus de cinq ans. L’organisme gouvernemental, principal régulateur de l’Union européenne pour la plupart des services Internet américains, a imposé une amende de 101 millions de dollars (91 millions d’euros) cette semaine. À ce jour, l’UE a infligé à Meta plus de 2,23 milliards de dollars (2 milliards d’euros) pour des violations du Règlement général sur la protection des données (RGPD), entré en vigueur en 2018. Ce montant comprend l’amende record de 1,34 milliard de dollars (1,2 milliard d’euros) de l’année dernière, que Meta conteste.
En tant que journaliste, je suis préoccupé par la manière dont des entreprises comme Meta gèrent nos données personnelles. La sécurité de nos informations devrait être une priorité absolue pour toutes les entreprises, et je suis impatient de voir s’il y aura des changements significatifs dans leur approche à la suite de ces amendes considérables.