Oh, colosse aux pieds d’argile !
Facebook vient d’admettre qu’il avait trouvé de nombreux endroits, voire des centaines de millions d’endroits peut-être, où il sauvegardait des mots de passe utilisateur sur des disques sous une forme brute et non chiffrée.
Dans le jargon, ils sont appelés “mots de passe en clair”, signifiant qu’au lieu de voir un mot de passe Facebook chiffré sous une forme hachée, telle que 379f1531753a7c43ab4f4faace212451
, quiconque ayant accès aux données stockées verra le véritable mot de passe Facebook en clair, tel qu’il est.
Comme ceci : 123456789
, ou encore : monmotdepasse99
, ou enfin : jw45X$/6FsT8
.
Les mots de passe en clair étaient monnaie courante il y a plusieurs décennies, mais il est devenu techniquement, socialement et même moralement irresponsable de conserver des mots de passe bruts au fil des années, un peu comme l’alcool au volant est devenu non seulement un délit puni par la loi, mais aussi un comportement inacceptable sur la route.
En d’autres termes, à l’époque c’était la norme, et puis c’est devenu une chose que l’on continuait à faire en espérant ne pas se faire prendre, et enfin aujourd’hui, c’est devenu une manière de faire plus du tout tolérée, sachant qu’il est facile de faire correctement les choses et si dangereux d’être négligeant.
Comment Facebook a-t-il pu commettre une telle erreur ?
La bonne nouvelle est que ces mots de passe mal stockés ne semblent pas faire partie du système d’authentification de Facebook accessible depuis l’extérieur.
En d’autres termes, les serveurs gateway de Facebook qui permettent aux utilisateurs extérieurs de se connecter ne sont pas remplis de copies brutes des mots de passe de chacun.
Au lieu de cela, il semble que certains programmeurs de Facebook, au fil des années, et depuis au moins 2012 selon le journaliste cybersécurité Brian Krebs, aient été négligents lors de la création des entrées du fichier log.
En d’autres termes, au lieu de se débarrasser en toute sécurité des données de mot de passe Facebook au niveau de la mémoire, après avoir été utilisés pour vérifier une connexion, ces données y sont restées pendant un certain temps, se retrouvant ainsi dans un, voire plusieurs, fichiers log où elles n’avaient pas besoin d’être stockées et n’auraient du coup pas dû l’être.
Vous pouvez conserver bien évidemment les données d’accès telles que le nom d’utilisateur, l’horodatage, le type de navigateur, le pays, etc…
… mais les programmeurs sont tenus de se débarrasser des données avec soin et rapidement si elles ne sont pas censées être stockées après avoir rempli leur fonction.
….Comme des mots de passe par exemple.
L’idée est simple : si vous éliminez en mémoire les données de mot de passe dès que vous n’en avez plus absolument besoin, personne d’autre ne pourra les divulguer accidentellement par la suite.
En termes simples, vous ne pouvez pas perdre de données que vous n’avez plus.
Une telle situation est-elle grave ?
Apparemment, la suppression correcte des mots de passe au niveau de la mémoire n’a pas toujours lieu dans le code de Facebook.
Comme le révèle maintenant un audit détaillé, réalisé par Facebook, parmi les ziggaoctets de données stockées sur ses serveurs, des millions de mots de passe ont été enregistrés par inadvertance sur un disque, sur lequel ils n’auraient jamais dû se trouver.
Selon Krebs :
Une déclaration écrite par Facebook et fournie à KrebsOnSecurity indique que l’entreprise prévoit d’informer “des centaines de millions d’utilisateurs de Facebook Lite, des dizaines de millions d’autres utilisateurs de Facebook et des dizaines de milliers d’utilisateurs d’Instagram”.
Facebook Lite est une version allégée de Facebook utilisée dans les pays où les forfaits de données mobiles sont difficiles à trouver et plutôt coûteux.
Dois-je fermer mon compte Facebook ?
Nous ne pouvons pas répondre à cette question pour vous.
Étant donné que les mots de passe mal stockés n’étaient pas facilement accessibles au niveau d’une base de données, ni délibérément stockés pour une utilisation courante lors des connexions, nous ne pensons pas que cette violation seule soit une raison suffisante pour clôturer votre compte.
D’un autre côté, c’est une mauvaise publicité pour Facebook, et avec tous les autres problèmes de protection de la vie privée qui préoccupent la plateforme sociale depuis quelques années, ce nouveau couac pourrait vous convaincre de franchir définitivement le pas.
En bref, nous ne vous conseillons pas de fermer votre compte, mais nous vous suggérons de prendre en compte cette dernière erreur au niveau de la qualité du codage dans votre décision finale concernant les éventuelles suites à donner.
Mais vous devez décider par vous-même (de notre côté, nous ne fermons pas notre compte).
Dois-je changer mon mot de passe Facebook ?
Pourquoi pas ?
Il est parfaitement possible qu’aucun mot de passe Facebook ne soit tombé entre les mains de cybercriminels suite à cette erreur.
Mais si des mots de passe devaient tomber entre de mauvaises mains (et vous pouvez parier que les cybercriminels sont déjà en train de fouiner dans les anciennes données qu’ils pourraient détenir actuellement, pour voir s’ils ne peuvent pas trouver quelque chose qui leur aurait par hasard échappé !), alors ils seront prêts à les utiliser de suite.
Les mots de passe hachés doivent encore être déchiffrés avant de pouvoir être utilisés. Les mots de passe en clair sont une véritable aubaine car ils ne nécessitent aucun piratage ou crackage particulier.
Notre conseil est donc le suivant : n’attendez pas d’être invité à le faire, changez votre mot de passe Facebook maintenant (nous l’avons déjà fait !).
Devrais-je activer l’authentification à deux facteurs ?
Oui !
Nous vous demandons néanmoins de le faire partout où vous le pouvez. Cela signifie qu’un mot de passe ne suffit pas à lui seul pour que des attaquants puissent pénétrer dans votre compte.
Si vous ne souhaitez pas fournir votre numéro de téléphone à Facebook, utilisez une authentification basée sur une application, où votre téléphone mobile génère un code à usage unique à chaque fois que vous vous connectez.
En résumé : activez le 2FA maintenant (nous l’avons fait il y a bien longtemps déjà !).
Pour conclure
- Modifiez votre mot de passe Facebook maintenant. N’attendez pas que Facebook vous le demande.
- Activez le 2FA si vous ne l’avez pas déjà fait. Il s’agit d’une étape supplémentaire, certes, mais qui améliorera nettement votre sécurité.
Ensuite, vous pourrez alors décider si vous souhaitez supprimer votre compte, sans avoir eu à prendre une décision trop rapidement, que vous pourriez regretter plus tard.
Billet inspiré de Change your Facebook password now!, sur Sophos nakedsecurity.