Les autorités irlandaises ont infligé une amende de 101 millions de dollars à Meta pour avoir stocké des centaines de millions de mots de passe d’utilisateurs en clair et les avoir largement accessibles aux employés de l’entreprise.
Meta a révélé cette erreur début 2019. La société a déclaré que les applications permettant de se connecter à divers réseaux sociaux appartenant à Meta avaient enregistré les mots de passe des utilisateurs en texte clair et les avaient stockés dans une base de données qui avait été recherchée par environ 2 000 ingénieurs de l’entreprise, qui ont collectivement interrogé davantage la réserve. plus de 9 millions de fois.
Meta étudiée pendant cinq ans
Les responsables de Meta ont déclaré à l’époque que l’erreur avait été découverte lors d’un examen de sécurité de routine des pratiques de stockage de données sur le réseau interne de l’entreprise. Ils ont poursuivi en affirmant qu’ils n’avaient découvert aucune preuve que quelqu’un ait accédé de manière inappropriée aux codes d’accès en interne ou que les codes d’accès aient jamais été accessibles à des personnes extérieures à l’entreprise.
Malgré ces assurances, la divulgation a révélé une faille de sécurité majeure de la part de Meta. Depuis plus de trois décennies, les meilleures pratiques dans presque tous les secteurs consistent à hacher les mots de passe de manière cryptographique. Le hachage est un terme qui s’applique à la pratique consistant à transmettre des mots de passe via un algorithme cryptographique unidirectionnel qui attribue une longue chaîne de caractères unique pour chaque entrée unique de texte en clair.
Étant donné que la conversion ne fonctionne que dans un seul sens (du texte brut au hachage), il n’existe aucun moyen cryptographique pour reconvertir les hachages en texte brut. Plus récemment, ces meilleures pratiques ont été imposées par les lois et réglementations de pays du monde entier.
Étant donné que les algorithmes de hachage fonctionnent dans un sens, la seule façon d’obtenir le texte brut correspondant est de le deviner, un processus qui peut nécessiter beaucoup de temps et de ressources informatiques. L’idée derrière le hachage des mots de passe est similaire à celle de l’assurance incendie pour une maison. En cas d’urgence – le piratage d’une base de données de mots de passe dans un cas, ou un incendie dans une maison dans l’autre – la protection protège la partie prenante contre un préjudice qui autrement aurait été plus grave.
Pour que les systèmes de hachage fonctionnent comme prévu, ils doivent respecter de nombreuses exigences. La première est que les algorithmes de hachage doivent être conçus de manière à nécessiter de grandes quantités de ressources informatiques. Cela rend les algorithmes tels que SHA1 et MD5 inadaptés, car ils sont conçus pour hacher rapidement les messages avec un minimum de calcul requis. En revanche, les algorithmes spécialement conçus pour hacher les mots de passe, tels que Bcrypt, PBKDF2 ou SHA512crypt, sont lents et consomment de grandes quantités de mémoire et de traitement.
Une autre exigence est que les algorithmes doivent inclure un « salage » cryptographique, dans lequel une petite quantité de caractères supplémentaires sont ajoutés au mot de passe en clair avant qu’il ne soit haché. Le salage augmente encore la charge de travail nécessaire pour casser le hachage. Le craquage est le processus consistant à transmettre un grand nombre de suppositions, souvent mesurées en centaines de millions, à travers l’algorithme et à comparer chaque hachage avec celui trouvé dans la base de données violée.
Le but ultime du hachage est de stocker les mots de passe uniquement dans un format haché et jamais sous forme de texte brut. Cela empêche les pirates informatiques et les initiés malveillants de pouvoir utiliser les données sans avoir à dépenser au préalable de grandes quantités de ressources.
Lorsque Meta a révélé cette faille en 2019, il était clair que l’entreprise n’avait pas réussi à protéger correctement des centaines de millions de mots de passe.
« Il est largement admis que les mots de passe des utilisateurs ne doivent pas être stockés en clair, compte tenu des risques d’abus liés à l’accès de personnes à ces données », a déclaré Graham Doyle, commissaire adjoint à la Commission irlandaise de protection des données. « Il faut garder à l’esprit que les mots de passe, sujets à réflexion dans cette affaire, sont particulièrement sensibles, car ils permettraient d’accéder aux comptes de réseaux sociaux des utilisateurs. »
La commission enquête sur l’incident depuis que Meta l’a révélé il y a plus de cinq ans. L’organisme gouvernemental, principal régulateur de l’Union européenne pour la plupart des services Internet américains, a imposé cette semaine une amende de 101 millions de dollars (91 millions d’euros). À ce jour, l’UE a infligé à Meta une amende de plus de 2,23 milliards de dollars (2 milliards d’euros) pour violation du Règlement général sur la protection des données (RGPD), entré en vigueur en 2018. Ce montant inclut l’amende record de 1,34 milliard de dollars (1,2 milliard d’euros) de l’année dernière. , ce à quoi Meta fait appel.