mot de passe messagerie
Products and Services PRODUCTS & SERVICES

Facebook ne vous demandera votre mot de passe messagerie

Suite à de vives critiques, Facebook ne demandera plus le mot de passe messagerie aux nouveaux utilisateurs.

Facebook ne demandera plus le mot de passe messagerie aux nouveaux utilisateurs, a récemment déclaré le réseau social, après de vives critiques.

Un utilisateur de Twitter a vivement dénoncé cette pratique, en la qualifiant “d’AFFREUSE idée d’un point de vue de #infosec”.

Un “très petit groupe de personnes”, selon Facebook, a été invité à saisir le mot de passe messagerie personnel lorsqu’il tentait de vérifier de nouveaux comptes, plutôt que l’email ou le code de vérification classique envoyé sur les téléphones des nouveaux utilisateurs.

Comme le rapportait The Daily Beast en premier lieu, les petits caractères en-dessous du champ du mot de passe promettaient que “Facebook ne stockerait pas votre mot de passe”.

Vous pouvez certainement comprendre pourquoi ce petit texte n’a pas rassuré les internautes : les mots de passe sont supposés être un secret que vous partagez avec le service pour lequel vous les créez, et avec personne d’autre.

De plus, Facebook s’est montré peu fiable en matière de gestion des mots de passe : ceux utilisés pour l’authentification à deux facteurs (2FA) en sont un exemple.

Un autre exemple nous a été donné par Facebook, il y a quelques semaines, lorqu’il a admis qu’il existait potentiellement des centaines de millions d’emplacements où il avait sauvegardé les mots de passe de ses utilisateurs sur un disque sous une forme brute et non chiffrée.

Facebook a abandonné cette demande d’identifiants de messagerie qui devenait de plus en plus embarrassante, en faisant la déclaration suivante :

Nous comprenons que l’option de vérification du mot de passe n’est pas la meilleure façon de procéder, nous allons donc cesser de la proposer.  

OAuth

Facebook n’a pas désigné un nombre particulier de personnes ayant reçu cette demande d’identifiants de messagerie, mais il explique clairement pourquoi elles ont été concernées : la vérification alternative a été initialement conçue pour les personnes s’inscrivant sur un navigateur web et utilisant des fournisseurs de messagerie qui ne prend pas en charge OAuth, un protocole open-source servant de clé pour les connexions.

OAuth est couramment utilisé pour donner aux sites web ou aux applications l’accès à des informations sur d’autres sites, mais sans fournir de mot de passe. Si vous vous êtes déjà connecté à un site web en utilisant Facebook, Google ou Twitter, vous avez utilisé OAuth.

Quels fournisseurs de messagerie n’utilisent pas OAuth? Je n’ai pas pu trouver de liste correspondante, bien que vous puissiez trouver quelques informations en ligne concernant l’utilisation ou non de ce protocole par Thunderbird (il prend en charge OAuth, mais il y a quelques mois, un modérateur de Mozilla a souligné dans un forum d’assistance que les développeurs avaient récemment modifié le code lié à OAuth, pouvant avoir généré ou non, pour un groupe de personnes du moins, des échecs de l’authentification OAuth).

Quoi qu’il en soit, revenons à Facebook : d’un côté, il est confronté à la nécessité de réduire le nombre de faux comptes, que ce soit pour empêcher les Russes de manipuler les élections ou de diffuser des fake news. D’un autre côté, les gens sont choqués à l’idée de devoir lui transmettre les informations dont il a besoin à des fins d’authentification.

Qu’est-ce qu’une modeste plateforme, extrêmement populaire, dans le viseur du gouvernement, à priori respectueuse de la vie privée, est censée faire ?

Pas cela justement, a déclaré Facebook dans un communiqué envoyé aux agences de presse.

Nous ne pouvons pas reprocher aux utilisateurs d’être méfiants, même s’il n’a pas été prouvé que Facebook ait transféré les identifiants de connexion de messagerie. Mais c’est bien que la plateforme ait mis fin à cette pratique (en faveur de ce que nous espérons être un moyen fiable et alternatif d’authentifier les nouveaux utilisateurs, un moyen qui ne fasse pas tressaillir les utilisateurs et ne donne pas non plus accès à leurs identifiants).

Demander des identifiants n’est pas bon pour l’image de Facebook, et ce n’est pas une bonne habitude à prendre par les utilisateurs.


Billet inspiré de Facebook won’t ask for your email password any more, sur Sophos nakedsecurity.