Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Facebook avait finalement enregistré en clair des millions de mots de passe Instagram

Facebook avait finalement enregistré en clair des millions de mots de passe Instagram

Le 19 avril 2019 à 09h23

En mars, le réseau social reconnaissait avoir stocké en clair des mots de passe de « centaines de millions d'utilisateurs ». Dans le lot, se trouvaient aussi des « dizaines de milliers d'utilisateurs Instagram ». Il y en avait finalement bien plus.

Dans une mise à jour discrète du billet de blog du 21 mars repérée par TechCrunch, le réseau social explique avoir trouvé d'autres mots de passe Instagram stockés en clair. De dizaines de milliers, on passe désormais à « des millions d'utilisateurs » touchés.

Facebook affirme de nouveau que ces mots de passe n'ont pas été utilisés à des fins malveillantes. Les utilisateurs concernés seront informés.

Le 19 avril 2019 à 09h23

Commentaires (21)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Bien évidemment que personne ne les a exploités. C’est bien connu, si on n’a aucune trace de vol, c’est qu’il n’y en a pas eu !



(hé oh on est vendredi hein j’ai le droit)

votre avatar

On sait depuis toujours qu’ils font absolument n’importe quoi avec nos données pour leur seul bénéfice.



En revanche, je pensais, candide que je suis, que s’agissant d’une mine d’or pour eux, ces données étaient ultras sécurisées par des moyens colossaux sur le plan humain que matériel (et logiciel).



En fait même pas… <img data-src=" />

votre avatar

Je comprends toujours pas qu’en 2019 on en soit encore aux mots de passe en clair…

Qu’il y ai encore des gens qui fassent juste un petit md5 sans rien de plus, c’est de l’amateurisme et c’est grave. Mais en clair, c’est juste hallucinant… Surtout dans une boite aussi tournée “tech” que Facebook …

votre avatar



Facebook affirme de nouveau que ces mots de passe n’ont pas été utilisés à des fins malveillantes.



c’est pas la question… ils avaient aucun motif légitime de les avoir en clair pour commencer <img data-src=" />

votre avatar

Je crois avoir entendu que c’était pas le stockage des mots de passe principal, mais une fonction de debug qui loggait les connexions. Un jour où le champ mdp a changé de nom, ça n’a pas été mis à jour dans le debug et les mdp n’ont plus été exclus des logs. Ou un truc du genre.



Utilisez un gestionnaire, et un mdp unique par site.

votre avatar







Toorist a écrit :



Je comprends toujours pas qu’en 2019 on en soit encore aux mots de passe en clair…

Qu’il y ai encore des gens qui fassent juste un petit md5 sans rien de plus, c’est de l’amateurisme et c’est grave. Mais en clair, c’est juste hallucinant… Surtout dans une boite aussi tournée “tech” que Facebook …











Noathym a écrit :



Je crois avoir entendu que c’était pas le stockage des mots de passe principal, mais une fonction de debug qui loggait les connexions. Un jour où le champ mdp a changé de nom, ça n’a pas été mis à jour dans le debug et les mdp n’ont plus été exclus des logs. Ou un truc du genre.



Utilisez un gestionnaire, et un mdp unique par site.







La tuile bien piégeuse que tu as loupé avant de faire ton commit…Que le premier dev qui n’a jamais fait une connerie comme ça jette à Facebook la première pierre.



Je n’irais pas non plus jeter de caillasse à la gueule de la com vu comment ils sont attendus au tournant à chaque erreur. Je comprends pourquoi ils sont systématiquement dans l’euphémisation et le damage control quelque soit la gravité des failles.



Donc oui, utilisez un gestionnaire de mot de passe, ne comptez pas que sur autrui pour assurer votre sécurité car autrui est tout aussi faillible que vous…et un peu de tolérance que diable !


votre avatar



Facebook affirme de nouveau que ces mots de passe n’ont pas été utilisés à des fins malveillantes

Quelle crédibilité donner à ces propos quand



Dans le lot, se trouvaient aussi des « dizaines de milliers d’utilisateurs Instagram ».{…}De dizaines de milliers, on passe désormais à « des millions d’utilisateurs » touchés.



<img data-src=" />

Ils n’ont pas la moindre idée de la façon dont leurs salariés ont peu utiliser ces données. Crédibilité de l’affirmation zéro.

votre avatar







Spidard a écrit :



Quelle crédibilité donner à ces propos quand (…)



<img data-src=" />





ça dépend de leur définition de malveillante. Après tout, ils ne pompent les données perso que pour “améliorer l’expérience des utilisateurs” <img data-src=" />


votre avatar

https://dayssincelastfacebookscandal.com/ est pas trop mal pour ce rendre compte de l’ampleur et&nbsp; de la fréquence des problèmes :-/

votre avatar

Je fais du dev, en presta dans une grosse boite, sur une de leur appli utilisée par leurs commerciaux.



Les mdp ont toujours été en clair malgré notre consternation et protestations. Les commerciaux se plaignaient que c’était trop compliqué de cliquer sur un lien pour générer un nouveau mdp en cas d’oubli et que c’était plus facile de nous appeler pour le récupérer <img data-src=" />

votre avatar







bad10 a écrit :



Les mdp ont toujours été en clair malgré notre consternation et protestations. Les commerciaux se plaignaient que c’était trop compliqué de cliquer sur un lien pour générer un nouveau mdp en cas d’oubli et que c’était plus facile de nous appeler pour le récupérer <img data-src=" />







Le classique. On a les même chez moi… Quand ils nous appellent on leur dire de cliquer sur le lien. On a moins d’appels… bizarrement.


votre avatar







espritordu a écrit :



La tuile bien piégeuse que tu as loupé avant de faire ton commit…Que le premier dev qui n’a jamais fait une connerie comme ça jette à Facebook la première pierre.





Il y a une différence entre faire/créer/laisser une faille dans son code et mettre des mots de passes en clair quand même !

Jamais au grand jamais ca n’est arrivé dans un de mes projets, même en dev.. C’est juste totalement impensable







espritordu a écrit :



Donc oui, utilisez un gestionnaire de mot de passe, ne comptez pas que sur autrui pour assurer votre sécurité car autrui est tout aussi faillible que vous…et un peu de tolérance que diable !





Ne pas laisser autrui être le seul responsable de sa sécurité et donc recommander d’utiliser un gestionnaire de mot de passe, c’est assez contradictoire non ? ^^


votre avatar

Franchement les gars, les mots de passe en clair à moins d’être encore en apprentissage, c’est l’hérésie pour tout développeur qui se respecte…



&nbsp;C’est la première règle de sécurité qu’on apprend dès qu’on touche au stockage.

La plupart des gens utilisent le même mot de passe pour toutes leurs appli.&nbsp;



Pour avoir été dans le cas cité plus haut avec un site collaborateur que ma boite à payer (au prix fort) et dont les dev ont laissé tout les passe en clair, je peux vous assurer que seulement à la lecture des mdp on en apprend pas mal sur les gens…



Pour moi c’est inadmissible à notre époque&nbsp;&nbsp;<img data-src=" />&nbsp;

votre avatar







espritordu a écrit :



La tuile bien piégeuse que tu as loupé avant de faire ton commit…Que le premier dev qui n’a jamais fait une connerie comme ça jette à Facebook la première pierre.









  • Cybersecurity Threat and Risk Assessment

  • Regulatory requirements

  • Risk control

  • V&V



    4 étapes (parmi d’autres) qui auraient dû empêcher la “connerie” du développeur de se retrouver en production.



    Du moins c’est comme cela dans les industries “réglementées” qui produisent du logiciel. . P-e qu’il est temps de réglementer le logiciel des géants du web, tout comme on réglemente le logiciel dans le médical ou le militaire.


votre avatar

Si c’est dans un log de connexion (avec tous les champs f’un formulaire, entête etc.) pour le debug, tu as surement la possibilité d’avoir le champ password en clair du coup. A moins de faire le hash coté client.

Ils n’ont pas forcément stocké dans une base de donnée un champ “email_en_clair_miam_miam” hein…



Ca reste une erreur, je suis bien d’accord, mais ce genre d’erreur peut aller vite, et n’a rien à voir avec l’authentification ou le “vrai” stockage du mot de passe.

votre avatar

On est d’accord, mais la news parle d’avoir “stocké” le mot de passe en clair, c’est pas juste une “utilisation” de la saisie là :p

votre avatar







Toorist a écrit :



Il y a une différence entre faire/créer/laisser une faille dans son code et mettre des mots de passes en clair quand même !

Jamais au grand jamais ca n’est arrivé dans un de mes projets, même en dev.. C’est juste totalement impensable







Évidemment que c’est impensable si c’est intentionnel ou si les mots de passe sont stockés en clair !

Mais là d’après ce que rapporte Noathym c’est une fonction de debug qui n’a pas été corrigée.







Toorist a écrit :



Ne pas laisser autrui être le seul responsable de sa sécurité et donc recommander d’utiliser un gestionnaire de mot de passe, c’est assez contradictoire non ? ^^







Là je ne pige pas. Si tu utilises un gestionnaire tu peux attribuer un mot de passe unique à chaque tiers et ainsi ne pas compter sur ce tiers pour qu’il ne révèle pas le mot de passe que tu utilises sur plusieurs comptes. En quoi est-ce contradictoire à moins d’avoir un gestionnaire de mot de passe propriétaire et stocké en ligne type Dashlane ?


votre avatar







Toorist a écrit :



Surtout dans une boite aussi tournée “tech” que Facebook …







A moins que ce ne soit une boite plutôt tournée “pub”, le mdp en clair pouvant aider à trouver une faiblesse pour manipuler leurs utilisateurs <img data-src=" />


votre avatar







espritordu a écrit :



Là je ne pige pas. Si tu utilises un gestionnaire tu peux attribuer un mot de passe unique à chaque tiers et ainsi ne pas compter sur ce tiers pour qu’il ne révèle pas le mot de passe que tu utilises sur plusieurs comptes. En quoi est-ce contradictoire à moins d’avoir un gestionnaire de mot de passe propriétaire et stocké en ligne type Dashlane ?





A partir du moment ou tu recommandes d’utiliser un intermédiaire (quel qu’il soit) pour t’aider à gérer tes mots de passes (que dans la plupart des cas tu ne connais du coup même plus), tu ne peux pas dire qu’il ne faut faire confiance qu’a soit même pour ses mots de passes.



Si tu considères qu’aucun tier n’est digne de confiance et qu’il ne faut se fier qu’a soit même pour ses mots de passe, bah il faut juste apprendre ses mots de passe par coeur.


votre avatar

Ou utiliser un gestionnaire hors ligne.



Perso mon keepass sur mon Nextcloud privé remplie parfaitement son office.

votre avatar

Je n’ai pas écrit qu’aucun tiers n’est digne de confiance et qu’il ne faut se fier qu’à soi-même.

J’ai écrit que tout le monde est faillible, y compris soi-même.

Qu’il ne faut donc pas se reposer seulement sur autrui…mais par extension pas plus qu’à seulement soi-même !



Demain je peux tout à fait accomplir l’exploit de formater le dd de mon pc sur lequel se trouve mon fichier Keepass, paumer la clé USB sur laquelle se trouve sa duplication automatique et cramer les dd en raid de mon nas sur lequel se trouve une copie manuelle mensuelle !

Je serais alors bien content que les applis que j’utilise me permettent de changer mon mot de passe.



Ce n’est pas tellement une question de savoir s’il faut faire ou pas confiance à tel ou tel. À priori la plupart d’entre-nous à part une petite minorité de sociopathes font du mieux qu’ils peuvent pour être fiables et dignes de confiance, donc soyons à priori confiants… mais vigilants ! Car cette confiance à priori doit tenir compte du fait que le développement est parfois une chose si complexe pour nos petites capacités intellectuelles qu’il en devient une source de chaos.

Facebook avait finalement enregistré en clair des millions de mots de passe Instagram

Fermer