Facebook vient d'admettre que des mots de passe avaient été stockés en clair. Le souci est corrigé. Mais cette annonce est-elle si grave que cela ?

Ce qui se passe

Dans un billet de blog paru le jeudi 21 mars, Facebook déclare avoir découvert que « certains » mots de passe étaient stockés en clair, c’est-à-dire sans une protection permettant de les rendre illisibles — ce qui est une mesure de sécurité pourtant courante. Cette découverte a eu lieu au mois de janvier 2019 lors d’un examen de routine classique effectué par le réseau social.

Le site communautaire explique que les raisons pour lesquelles ces mots de passe étaient stockés en clair ont été traitées, ce qui explique vraisemblablement le délai qui s’est écoulé entre le moment où l’incident a été repéré et la communication qu’organise aujourd’hui Facebook. Le site annonce que les personnes concernées recevront prochainement des explications de sa part.

Qui est concerné ?

Facebook parle de « certains » mots de passe, ce qui peut donner l’impression que le nombre d’individus affectés est relativement bas. À l’échelle du réseau social, qui compte pas moins de deux milliards de membres sur l’ensemble de ses plateformes, ce sont toutefois des millions de personnes qui vont recevoir une notification de la part de la société de Menlo Park.

« Nous estimons que nous informerons des centaines de millions d’utilisateurs de Facebook Lite, des dizaines de millions d’autres utilisateurs de Facebook et des dizaines de milliers d’utilisateurs d’Instagram » (en fait, ce sont des millions), admet ainsi Pedro Canahuati, le vice-président de la société en charge de l’ingénierie, de la sécurité et de la vie privée. L’application Facebook Lite est la version allégée de l’application principale.

Ce que vous risquez

Pour l’instant, une belle frayeur. Il n’est pas établi que ces mots de passe stockés en clair aient pu être consultés ou récupérés par un tiers malveillant. « Pour être clair, ces mots de passe n’ont jamais été visibles pour personne à l’extérieur de Facebook et nous n’avons trouvé à ce jour aucune preuve que quelqu’un en ait abusé en interne ou y ait accédé de façon inappropriée », affirme Pedro Canahuati.

Que pouvez-vous faire ?

Si vous ne recevez pas de notification de la part de Facebook, vous pouvez poursuivre vos activités normalement. Cette affaire peut toutefois être une bonne occasion de vérifier les paramètres de sécurité sur le réseau social comme sur Instagram, si vous êtes sur l’une ou l’autre plateforme (ou les deux). Car la protection d’un compte ne se limite pas au mot de passe.

Sur Facebook par exemple, il est possible d’activer l’authentification à deux facteurs, une option qui joue le rôle de deuxième mot de passe (de plus en plus de sites l’adoptent). Vous pouvez aussi demander de recevoir des alertes si des connexions ne sont pas reconnues et définir des contacts de confiance pour accéder à nouveau à votre compte. Vous pouvez enfin vérifier les connexions actives.

Et le changement de mot de passe alors ?

Pour les personnes qui n’ont rien reçu de la part de Facebook, le changement de mot de passe n’est pas requis. Pour les autres, il n’est pas démontré que celui-ci ait été exposé. Cependant, la prudence commande de le modifier au cas où, surtout s’il est du genre à reprendre votre date de naissance ou n’importe quel autre élément sur vous qui peut être deviné par un tiers.

Bien entendu, le mot de passe que vous allez choisir (ou la phrase de passe) doit être unique. Ne réutilisez pas un code que vous employez déjà ailleurs et abstenez-vous de verser dans la simplicité. Si vous éprouvez de la difficulté à le retenir, l’usage d’un bon gestionnaire de mots de passe peut vous sauver la mise. Et surtout, profitez des autres options de sécurité proposées par Facebook.

(mise à jour concernant Instagram)

Partager sur les réseaux sociaux Tweeter Partager Partager Partager redditer

La suite en vidéo