Faille Facebook, épisode 2 537 852
Facebook a annoncé une nouvelle faille de sécurité, la 2 537 852ème ?!
Explications préalables
Un mot de passe n’est pas sensé être lisible au sein d’un système. On utilise un algorithme cryptographique qu’on appelle un hash pour le stocker de façon illisible.
Faille Facebook, épisode 2 537 852
Facebook a annoncé une nouvelle faille de sécurité, la 2 537 852ème ?!
On parlera de cette technique dans un épisode de Cryptotrucs.
Le but de ce procédé est d’éviter qu’un éventuel hacker puisse récupérer les mots de passe. Cela réduit considérablement les risques de fuites.
Facebook stocke correctement ses mots de passe, semble-t-il. Mais ils ont oublié les logs.
Un log c’est un dispositif qui permet de recueillir des informations sur le comportement d’un système, quel utilisateur s’est connecté, quand, et plus encore.
Il sert souvent à débugger mais peut aussi servir à suivre le comportement des utilisateurs.
La faille elle-même
Dans le cas de Facebook, le log recevait l’information de connexion d’un utilisateur avec son mot de passe lisible.
Jusqu’à janvier dernier (2019), les mots de passe utilisateurs étaient enregistrés en clair dans les logs internes de Facebook.
Il semble que ces mots de passe étaient accessibles à tous les employés Facebook mais pas en dehors. Selon Facebook, du moins.
Facebook dit qu’il n’est pas nécessaire de changer ses mots de passe Facebook et Instagram (Instagram est une filiale de Facebook) mais des experts en cybersécurité disent le contraire.
Ce que j’en dis
Si les mots de passe n’ont pas été récupérés par d’autres que les employés Facebook, alors le risque est minime. Les employés ont de toute façon la possibilité d’ouvrir des sessions au sein de Facebook et Instagram à votre place.
Sauf que
On n’a que la parole de Facebook et ils sont plus que vagues sur ce sujet.
Vous utilisez peut-être le même mot de passe ailleurs (même si ce n’est pas conseillé) et dans ce cas les employés Facebook peuvent y accéder.
Je vous conseille donc de changer vos mots de passe mais aussi d’activer la double authentification pour renforcer la connexion en cas de fuite de mot de passe.
J’ai mis en bas d’article de multiples ressources sur comment faire un bon mot de passe et la double authentification.
Enfin, surveillez vos sessions Facebook et supprimez les sessions que vous ne connaissez pas.
Vous faites ça, à la fois, sur Facebook et sur Instagram.