Meta stockait des mots de passe en clair et écope de 91 millions d’euros d’amende
Le 27 septembre à 14h55
2 min
Droit
Droit
La Data Protection Commission, équivalent irlandaise de la CNIL, vient de prononcer une sanction de 91 millions d’euros contre Meta. La société avait reconnu avoir stocké des millions de mots de passe Facebook et Instagram en clair.
Que s’était-il passé ? Des mots de passe se sont retrouvés dans des zones de l’infrastructure de Meta qui n’avaient pas été conçues pour gérer des données aussi sensibles. On ne sait pas exactement comment ces informations y ont atterri. Un « examen de routine » au sein de l’entreprise avait révélé leur présence, leur accumulation entre 2012 et 2019 ainsi que leur disponibilité en clair. Plus de 20 000 employés de Meta étaient théoriquement capables d’y accéder à l’époque.
La DPC liste ainsi les infractions au RGPD :
- Article 33, paragraphe 1 : la violation des données n’a pas été signalée
- Article 33, paragraphe 5 : la violation n’a pas été documentée
- Article 5, paragraphe 1 : défaut de sécurisation (mesures techniques et organisationnelles) sur les données dans un traitement non autorisé
- Article 32, paragraphe 1 : défaut de sécurisation, Meta n’ayant pas assuré la confidentialité permanente des mots de passe
En plus de ces points, la DPC note que Meta n’a pas averti les personnes concernées que leur mot de passe était accessible en clair pendant des années.
« Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en clair, compte tenu des risques d'abus qui découlent de l'accès à ces données par des personnes. Il faut garder à l'esprit que les mots de passe examinés dans cette affaire sont particulièrement sensibles, car ils permettraient d'accéder aux comptes de médias sociaux des utilisateurs », a indiqué Graham Doyle, commissaire adjoint de la DPC.
La commission irlandaise indique que Meta a collaboré activement à l’enquête ouverte en 2019. Comme l’indique Reuters, la sanction vient s’ajouter aux autres en Europe, Meta cumulant aujourd’hui 2,5 milliards d’euros en amendes diverses.
Le 27 septembre à 14h55
Commentaires (11)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 27/09/2024 à 15h02
Des millions de mot de passe, stockés en clair, sur une période allant de 2012 à 2019, sans compter la violation qui n'a pas été signalé, ni les utilisateurs avertis (risque élevé, surtout avec le bouton "se connecter avec facebook" qui est présent sur beaucoup de site web).
91 millions d'€ seulement pour des manquements aussi grave, sur une période aussi longue et touchant autant de personnes ? Meta aura du se prendre une amende max à ce niveau là (4% du CA mondial)....
Le 27/09/2024 à 15h41
Le 27/09/2024 à 15h48
Le 27/09/2024 à 17h08
Meta s'est rendu-compte du problème en Janvier 2019 puis en avril (ou avant ?) d'un autre problème pour Instagram où les mdp étaient en clair dans des logs.
On ne pouvait les sanctionner que sur ces 2 périodes, moins d'un an. Tout ce qui s'est passé avant le 25 mai 2018 ne peut pas être sanctionné.
Le 28/09/2024 à 14h09
Par contre, les faits étaient sanctionnables par la CNIL, mais le montant des amedes avant cette période était plafonné à 300 000€ si je me souviens bien.
Ensuite, et c'est une très bonne question que tu soulèves, lorsque les faits ont eu lieu avant le RGPD, mais dévoilés après sa mise en application, est-ce que les erreurs et manquements d'avant cette période sont sanctionnables par le RGPD ou pas ?
Pour ce qui est relatif à la déclaration de la violation et le fait d'avertir les personnes concernés, j'ai envie de dire que la réponse est oui.
Pour les manquements flagrants de sécurisation, je pense que c'est 300 000€ max avant le 25 mai 2018, et mais le RGPD s'applique ensuite. Malgré cela, vu la gravité des manquements, je persiste à penser que le montant de l'amende est dérisoire vis-à-vis des faits reprochés.
Le 27/09/2024 à 15h02
https://stackoverflow.com/questions/30279321/how-to-use-phps-password-hash-to-hash-and-verify-passwords
Le 27/09/2024 à 19h44
Le 27/09/2024 à 22h29
Le pire c'est que même en faisant de la méta-merde, les gens y restent accrochés comme si c'était pas grave...
Le 28/09/2024 à 09h32
Le 27/09/2024 à 23h05
Le 29/09/2024 à 18h03