Connexion
Abonnez-vous

Meta stockait des mots de passe en clair et écope de 91 millions d’euros d’amende

Meta stockait des mots de passe en clair et écope de 91 millions d’euros d’amende

Photo de Dima Solomin sur Unsplash

Le 27 septembre à 14h55

La Data Protection Commission, équivalent irlandaise de la CNIL, vient de prononcer une sanction de 91 millions d’euros contre Meta. La société avait reconnu avoir stocké des millions de mots de passe Facebook et Instagram en clair.

Que s’était-il passé ? Des mots de passe se sont retrouvés dans des zones de l’infrastructure de Meta qui n’avaient pas été conçues pour gérer des données aussi sensibles. On ne sait pas exactement comment ces informations y ont atterri. Un « examen de routine » au sein de l’entreprise avait révélé leur présence, leur accumulation entre 2012 et 2019 ainsi que leur disponibilité en clair. Plus de 20 000 employés de Meta étaient théoriquement capables d’y accéder à l’époque.

La DPC liste ainsi les infractions au RGPD :

  • Article 33, paragraphe 1 : la violation des données n’a pas été signalée
  • Article 33, paragraphe 5 : la violation n’a pas été documentée
  • Article 5, paragraphe 1 : défaut de sécurisation (mesures techniques et organisationnelles) sur les données dans un traitement non autorisé
  • Article 32, paragraphe 1 : défaut de sécurisation, Meta n’ayant pas assuré la confidentialité permanente des mots de passe

En plus de ces points, la DPC note que Meta n’a pas averti les personnes concernées que leur mot de passe était accessible en clair pendant des années.

« Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en clair, compte tenu des risques d'abus qui découlent de l'accès à ces données par des personnes. Il faut garder à l'esprit que les mots de passe examinés dans cette affaire sont particulièrement sensibles, car ils permettraient d'accéder aux comptes de médias sociaux des utilisateurs », a indiqué Graham Doyle, commissaire adjoint de la DPC.

La commission irlandaise indique que Meta a collaboré activement à l’enquête ouverte en 2019. Comme l’indique Reuters, la sanction vient s’ajouter aux autres en Europe, Meta cumulant aujourd’hui 2,5 milliards d’euros en amendes diverses.

Le 27 septembre à 14h55

Commentaires (11)

votre avatar
J'ai envie de dire, seulement 91 millions ?

Des millions de mot de passe, stockés en clair, sur une période allant de 2012 à 2019, sans compter la violation qui n'a pas été signalé, ni les utilisateurs avertis (risque élevé, surtout avec le bouton "se connecter avec facebook" qui est présent sur beaucoup de site web).

91 millions d'€ seulement pour des manquements aussi grave, sur une période aussi longue et touchant autant de personnes ? Meta aura du se prendre une amende max à ce niveau là (4% du CA mondial)....
votre avatar
CNIL irlandaise , notoirement connue pour être d'une grande complaisance avec les GAFAM, étant un paradis fiscal pour lesdites entreprises. Il me semble que NEXT a fait un article où les CNIL des autres pays EP se plaignent que c'est franchement "flag" et dévalorise leur rôle auprès du grand public (c'est dire).
votre avatar
Certes, mais la CNIL irlandaise s'est déjà faite remontée les bretelles par le CEPD. Et il me semble qu'aujourd'hui, les CNILs peuvent contester une décision d'une autre CNIL si elles sont suffisamment nombreuses à protester.
votre avatar
Attention, le RGPD n'est applicable que depuis le 25 mai 2018.
Meta s'est rendu-compte du problème en Janvier 2019 puis en avril (ou avant ?) d'un autre problème pour Instagram où les mdp étaient en clair dans des logs.

On ne pouvait les sanctionner que sur ces 2 périodes, moins d'un an. Tout ce qui s'est passé avant le 25 mai 2018 ne peut pas être sanctionné.
votre avatar
Attention, c'est en partie vrai seulement. Ce qui a eu lieu avant le 25 mai 2018 était sanctionnable, mais le RGPD n'était effectivement pas opposable.

Par contre, les faits étaient sanctionnables par la CNIL, mais le montant des amedes avant cette période était plafonné à 300 000€ si je me souviens bien.

Ensuite, et c'est une très bonne question que tu soulèves, lorsque les faits ont eu lieu avant le RGPD, mais dévoilés après sa mise en application, est-ce que les erreurs et manquements d'avant cette période sont sanctionnables par le RGPD ou pas ?

Pour ce qui est relatif à la déclaration de la violation et le fait d'avertir les personnes concernés, j'ai envie de dire que la réponse est oui.

Pour les manquements flagrants de sécurisation, je pense que c'est 300 000€ max avant le 25 mai 2018, et mais le RGPD s'applique ensuite. Malgré cela, vu la gravité des manquements, je persiste à penser que le montant de l'amende est dérisoire vis-à-vis des faits reprochés.
votre avatar
A l'attention des développeurs chez Meta : la réponse était sur StackOverflow, ça prend 3 lignes de code :

https://stackoverflow.com/questions/30279321/how-to-use-phps-password-hash-to-hash-and-verify-passwords

:mdr2:
votre avatar
Meta buse.
votre avatar
Et après c'est moi qui passe pour le vieux con rabat-joie de service quand je dit aux collègues "non j'ai pas Whatsapp ni facebook je veux pas de compte chez Meta" ...

Le pire c'est que même en faisant de la méta-merde, les gens y restent accrochés comme si c'était pas grave...
votre avatar
Je pense que beaucoup de gens ne comprennent simplement pas de quoi il s'agit vraiment. Un not de passe pour eux ç reste obscure, le risque qu'il soit en clair et tout ça. C'est un peu comme si tu disais : il va pleuvoir tant d'eau sur la semaine prochaine ; ceux qui n'ont pas de fermes ne comprennent pas l'impact, ils vont juste sortrir un parapluie.
votre avatar
91 millions d'amende? c'est pas fait par la CNIL, ça :D
votre avatar
Je n'ai jamais eu aucune confiance en Meta, mais pas à ce point-là ! :eeek2:

Meta stockait des mots de passe en clair et écope de 91 millions d’euros d’amende

Fermer