En mars, le réseau social reconnaissait avoir stocké en clair des mots de passe de « centaines de millions d'utilisateurs ». Dans le lot, se trouvaient aussi des « dizaines de milliers d'utilisateurs Instagram ». Il y en avait finalement bien plus.
Dans une mise à jour discrète du billet de blog du 21 mars repérée par TechCrunch, le réseau social explique avoir trouvé d'autres mots de passe Instagram stockés en clair. De dizaines de milliers, on passe désormais à « des millions d'utilisateurs » touchés.
Facebook affirme de nouveau que ces mots de passe n'ont pas été utilisés à des fins malveillantes. Les utilisateurs concernés seront informés.
Commentaires (21)
#1
Bien évidemment que personne ne les a exploités. C’est bien connu, si on n’a aucune trace de vol, c’est qu’il n’y en a pas eu !
(hé oh on est vendredi hein j’ai le droit)
#2
On sait depuis toujours qu’ils font absolument n’importe quoi avec nos données pour leur seul bénéfice.
" />
En revanche, je pensais, candide que je suis, que s’agissant d’une mine d’or pour eux, ces données étaient ultras sécurisées par des moyens colossaux sur le plan humain que matériel (et logiciel).
En fait même pas…
#3
Je comprends toujours pas qu’en 2019 on en soit encore aux mots de passe en clair…
Qu’il y ai encore des gens qui fassent juste un petit md5 sans rien de plus, c’est de l’amateurisme et c’est grave. Mais en clair, c’est juste hallucinant… Surtout dans une boite aussi tournée “tech” que Facebook …
#4
Facebook affirme de nouveau que ces mots de passe n’ont pas été utilisés à des fins malveillantes.
c’est pas la question… ils avaient aucun motif légitime de les avoir en clair pour commencer
#5
Je crois avoir entendu que c’était pas le stockage des mots de passe principal, mais une fonction de debug qui loggait les connexions. Un jour où le champ mdp a changé de nom, ça n’a pas été mis à jour dans le debug et les mdp n’ont plus été exclus des logs. Ou un truc du genre.
Utilisez un gestionnaire, et un mdp unique par site.
#6
#7
Facebook affirme de nouveau que ces mots de passe n’ont pas été utilisés à des fins malveillantes
Quelle crédibilité donner à ces propos quand
Dans le lot, se trouvaient aussi des « dizaines de milliers d’utilisateurs Instagram ».{…}De dizaines de milliers, on passe désormais à « des millions d’utilisateurs » touchés.
Ils n’ont pas la moindre idée de la façon dont leurs salariés ont peu utiliser ces données. Crédibilité de l’affirmation zéro.
#8
#9
https://dayssincelastfacebookscandal.com/ est pas trop mal pour ce rendre compte de l’ampleur et de la fréquence des problèmes :-/
#10
Je fais du dev, en presta dans une grosse boite, sur une de leur appli utilisée par leurs commerciaux.
" />
Les mdp ont toujours été en clair malgré notre consternation et protestations. Les commerciaux se plaignaient que c’était trop compliqué de cliquer sur un lien pour générer un nouveau mdp en cas d’oubli et que c’était plus facile de nous appeler pour le récupérer
#11
#12
#13
Franchement les gars, les mots de passe en clair à moins d’être encore en apprentissage, c’est l’hérésie pour tout développeur qui se respecte…
" />
C’est la première règle de sécurité qu’on apprend dès qu’on touche au stockage.
La plupart des gens utilisent le même mot de passe pour toutes leurs appli.
Pour avoir été dans le cas cité plus haut avec un site collaborateur que ma boite à payer (au prix fort) et dont les dev ont laissé tout les passe en clair, je peux vous assurer que seulement à la lecture des mdp on en apprend pas mal sur les gens…
Pour moi c’est inadmissible à notre époque
#14
#15
Si c’est dans un log de connexion (avec tous les champs f’un formulaire, entête etc.) pour le debug, tu as surement la possibilité d’avoir le champ password en clair du coup. A moins de faire le hash coté client.
Ils n’ont pas forcément stocké dans une base de donnée un champ “email_en_clair_miam_miam” hein…
Ca reste une erreur, je suis bien d’accord, mais ce genre d’erreur peut aller vite, et n’a rien à voir avec l’authentification ou le “vrai” stockage du mot de passe.
#16
On est d’accord, mais la news parle d’avoir “stocké” le mot de passe en clair, c’est pas juste une “utilisation” de la saisie là :p
#17
#18
#19
#20
Ou utiliser un gestionnaire hors ligne.
Perso mon keepass sur mon Nextcloud privé remplie parfaitement son office.
#21
Je n’ai pas écrit qu’aucun tiers n’est digne de confiance et qu’il ne faut se fier qu’à soi-même.
J’ai écrit que tout le monde est faillible, y compris soi-même.
Qu’il ne faut donc pas se reposer seulement sur autrui…mais par extension pas plus qu’à seulement soi-même !
Demain je peux tout à fait accomplir l’exploit de formater le dd de mon pc sur lequel se trouve mon fichier Keepass, paumer la clé USB sur laquelle se trouve sa duplication automatique et cramer les dd en raid de mon nas sur lequel se trouve une copie manuelle mensuelle !
Je serais alors bien content que les applis que j’utilise me permettent de changer mon mot de passe.
Ce n’est pas tellement une question de savoir s’il faut faire ou pas confiance à tel ou tel. À priori la plupart d’entre-nous à part une petite minorité de sociopathes font du mieux qu’ils peuvent pour être fiables et dignes de confiance, donc soyons à priori confiants… mais vigilants ! Car cette confiance à priori doit tenir compte du fait que le développement est parfois une chose si complexe pour nos petites capacités intellectuelles qu’il en devient une source de chaos.