Connexion
Abonnez-vous

Facebook : encore des fuites de données et demande du mot de passe de votre messagerie email

Facebook : encore des fuites de données et demande du mot de passe de votre messagerie email

Le 04 avril 2019 à 09h35

La société UpGuard, spécialisée dans la sécurité informatique, explique avoir identifié deux bases de données contenant des informations sensibles et librement accessibles sur des serveurs Amazon S3.

La première provient de chez Cultura Colectiva. Elle pèse 146 Go et contient des informations personnelles de pas moins de 540 millions d'utilisateurs : commentaires, j'aime, réactions, informations sur les comptes, etc.

La seconde brèche concerne le service At the Pool qui n'est plus actif depuis 2014. Stockée là encore sur un serveur S3, la base de données comprend de nombreuses informations sur des comptes Facebook, les amis, j'aime, etc., ainsi que 22 000 mots de passe en clair. Selon UpGuard ces derniers seraient rattachés aux comptes At The Pool, pas directement à Facebook.

Les chercheurs affirment avoir contacté Cultura Colectiva deux fois en janvier, sans aucune réponse. Ils ont joint Amazon en janvier et en février avec réponse à la clé, mais sans bloquer l'accès aux fichiers. Il faudra attendre le 3 avril au matin qu'un journaliste de Bloomberg contacte Amazon pour que l'accès soit coupé. Concernant At The Pool, les informations ont été rendues inaccessibles pendant qu'UpGuard menait son enquête et avant que les chercheurs ne contactent qui que soit.

Mais ce n'est pas tout. Comme le rapporte Ars Technica, Facebook a demandé à certains de ses nouveaux utilisateurs d'entrer le mot de passe de leur messagerie « pour confirmer leur adresse email ». Ce genre de demande, qui défie toutes les règles de sécurité, semble arriver avec certains services uniquement, notamment Yanex et GMX, mais pas Gmail.

Un porte-parole de Facebook confirme, mais ajoute que la société ne stocke pas ces mots de passe… un argument bien trop léger face à ce genre de pratiques, compte tenu de la réputation de la société en la matière. Pour rappel, elle a récemment reconnu avoir stocké en clair des mots de passe de « centaines de millions d'utilisateurs ».

Quoi qu'il en soit, le réseau social ajoute avoir mis fin à cette pratique.

Le 04 avril 2019 à 09h35

Commentaires (10)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Sur les deux fuites, on est clairement pas dans la responsabilité de Facebook. Ce sont des applications qui ont demandé à l’utilisateur si elles pouvaient accéder en son nom aux resources stockés par Facebook. Si l’utilisateur consent, la responsabilité est sur l’application et l’utilisateur.

votre avatar



Mais ce n’est pas tout. Comme le rapporte Ars Technica, Facebook a demandé à certains de ses nouveaux utilisateurs d’entrer le mot de passe de leur messagerie « pour confirmer leur adresse email ». Ce genre de demande, qui défit toutes les règles de sécurité, semble arriver avec certains services uniquement, notamment Yanex et GMX, mais pas Gmail.



Un porte-parole de Facebook confirme, mais ajoute que la société ne stocke pas ces mots de passe… un argument bien trop léger face à ce genre de pratiques, compte tenu de la réputation de la société en la matière. Pour rappel, elle a récemment reconnu avoir stocké en clair des mots de passe de « centaines de millions d’utilisateurs ».



Euh… Y’a plus d’informaticiens chez Facebook ou bien ils sont tous mégalos ?!

votre avatar

Tout ca uniquement pour faire gonfler le nombre de connections ;)

votre avatar

Le passage qui manque c’est “Facebook confirme, mais ajoute que la société ne stocke pas ces mots de passe …de façon chiffré”



<img data-src=" />

votre avatar







Kazer2.0 a écrit :



Le passage qui manque c’est “Facebook confirme, mais ajoute que la société ne stocke pas ces mots de passe …de façon chiffré”



<img data-src=" />





Ben, ce n’est pas un troll, c’est la stricte vérité, l’actualité l’a bien relevé.



Et si on réfléchit 2 secondes, l’argumentation de Facebook ne tient pas une seconde:

Ils demandent le mot de passe de la messagerie “pour confirmer leur adresse email”.

Or la confirmation n’est jamais immédiate mais prend généralement quelques minutes.

Et pendant ces quelques minutes, que font-ils du mot de passe? Vont-ils le “conserver” temporairement en ram?

Cela reviendrait donc à immobiliser pendant plusieurs minutes une partie des capacités de leurs serveurs pour une simple validation. Techniquement, cela n’est pas rentable de procéder ainsi.

&nbsp;

Le plus économique revient à stocker le mdp sur le disque dur pour en faire la vérification par la suite.

&nbsp;Et si on est toujours dans une logique capitaliste visant à réduire les couts au maximum, le mdp n’est pas chiffré (ça coute de faire ça) et il n’est pas non plus effacé (ça coute aussi de le supprimer)



&nbsp;Facebook étant une société hautement capitaliste, il est fort probable qu’elle raisonne ainsi et donc que ces mdp sont toujours stockés en clair sur un de leur serveur.



En fait, quand on se met à raisonner comme ces sociétés d’un point de vue purement financier, on arrive à expliquer tout et n’importe quoi, et surtout le pire…



<img data-src=" />

&nbsp;&nbsp;

&nbsp;

&nbsp;


votre avatar

On les renomme bientôt Facepalm… ☺

votre avatar

Le fait d’être guidé par le profit n’empêche pas de prendre un minimum de précautions. En l’occurrence, chiffrer les mdp a un coût ridiculement faible, bien plus faible que le coût de damage control qu’ils vont devoir faire maintenant. L’explication est certainement ailleurs, et ce n’est pas nécessairement plus rassurant.



Parce que la vrai question, c’est ‘depuis quand on a besoin du mdp de l’adresse e-mail pour la confirmer?‘. Ils ne peuvent pas envoyer un mail avec un lien secret comme tout le monde? Pourquoi ne le font-ils pas avec certains fournisseur ? Faut-il y voir un rapport avec le fait que certain d’entre eux, comme Gmail, bloquent et envoient une alerte quand quelqu’un se connecte depuis une IP anormale, ce qui aurait pu faire tiquer un utilisateur, même peu méfiant?

Ce qui est réellement fait avec ce mot de passe m’inquiète personnellement bien plus que le fait qu’il ait ou non été stocké en clair.



Cette affaire montre encore une fois qu’il est nécessaire d’éduquer très tôt les gens à la sécurité informatique, et notamment que personne d’autre que votre fournisseur de mail est légitime à vous en demander le mot de passe.

votre avatar







Zerdligham a écrit :



chiffrer les mdp a un coût ridiculement faible, bien plus faible que le coût de damage control qu’ils vont devoir faire maintenant.







Facebook… Toute les semaines un nouveau scandale. Et toutes les semaines, plusieurs millions d’utilisateurs en plus…


votre avatar



Mais ce n’est pas tout. Comme le rapporte Ars Technica, Facebook a demandé à certains de ses nouveaux utilisateurs d’entrer le mot de passe de leur messagerie « pour confirmer leur adresse email ». Ce genre de demande, qui défie toutes les règles de sécurité, semble arriver avec certains services uniquement, notamment Yanex et GMX, mais pas Gmail.





J’aimerais rappeler que des machins sociaux demandent régulièrement l’accès à la messagerie du produit pour pouvoir “lui trouver des contacts et recommander l’outil”.



Donc franchement, rien de surprenant.

votre avatar

Le facepalm, c’est surtout les gens qui utilisent encore facebook…

Facebook : encore des fuites de données et demande du mot de passe de votre messagerie email

Fermer