La Data Protection Commission, équivalent irlandaise de la CNIL, vient de prononcer une sanction de 91 millions d’euros contre Meta. La société avait reconnu avoir stocké des millions de mots de passe Facebook et Instagram en clair.
Que s’était-il passé ? Des mots de passe se sont retrouvés dans des zones de l’infrastructure de Meta qui n’avaient pas été conçues pour gérer des données aussi sensibles. On ne sait pas exactement comment ces informations y ont atterri. Un « examen de routine » au sein de l’entreprise avait révélé leur présence, leur accumulation entre 2012 et 2019 ainsi que leur disponibilité en clair. Plus de 20 000 employés de Meta étaient théoriquement capables d’y accéder à l’époque.
La DPC liste ainsi les infractions au RGPD :
- Article 33, paragraphe 1 : la violation des données n’a pas été signalée
- Article 33, paragraphe 5 : la violation n’a pas été documentée
- Article 5, paragraphe 1 : défaut de sécurisation (mesures techniques et organisationnelles) sur les données dans un traitement non autorisé
- Article 32, paragraphe 1 : défaut de sécurisation, Meta n’ayant pas assuré la confidentialité permanente des mots de passe
En plus de ces points, la DPC note que Meta n’a pas averti les personnes concernées que leur mot de passe était accessible en clair pendant des années.
« Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en clair, compte tenu des risques d'abus qui découlent de l'accès à ces données par des personnes. Il faut garder à l'esprit que les mots de passe examinés dans cette affaire sont particulièrement sensibles, car ils permettraient d'accéder aux comptes de médias sociaux des utilisateurs », a indiqué Graham Doyle, commissaire adjoint de la DPC.
La commission irlandaise indique que Meta a collaboré activement à l’enquête ouverte en 2019. Comme l’indique Reuters, la sanction vient s’ajouter aux autres en Europe, Meta cumulant aujourd’hui 2,5 milliards d’euros en amendes diverses.
Commentaires (5)
#1
Des millions de mot de passe, stockés en clair, sur une période allant de 2012 à 2019, sans compter la violation qui n'a pas été signalé, ni les utilisateurs avertis (risque élevé, surtout avec le bouton "se connecter avec facebook" qui est présent sur beaucoup de site web).
91 millions d'€ seulement pour des manquements aussi grave, sur une période aussi longue et touchant autant de personnes ? Meta aura du se prendre une amende max à ce niveau là (4% du CA mondial)....
#1.1
#1.2
#1.3
Meta s'est rendu-compte du problème en Janvier 2019 puis en avril (ou avant ?) d'un autre problème pour Instagram où les mdp étaient en clair dans des logs.
On ne pouvait les sanctionner que sur ces 2 périodes, moins d'un an. Tout ce qui s'est passé avant le 25 mai 2018 ne peut pas être sanctionné.
#2
https://stackoverflow.com/questions/30279321/how-to-use-phps-password-hash-to-hash-and-verify-passwords