Dans un contexte où Facebook accumule les problèmes de sécurité et de confidentialité et où Mark Zuckerberg promet de rendre le réseau social davantage soucieux de la vie privée, Brian Krebs, de la société KrebsonSecurity, fait une révélation à peine croyable :  Facebook a stocké des centaines de millions de mots de passe en clair et les a laissés accessibles à au moins 20 000 employés.

Facebook a confimé le problème dans un communiqué :

Dans le cadre d'un examen de sécurité de routine effectué en janvier, nous avons constaté que certains mots de passe d'utilisateurs étaient stockés dans un format lisible dans nos systèmes de stockage de données internes. Cela a attiré notre attention car nos systèmes de connexion sont conçus pour masquer les mots de passe en utilisant des techniques qui les rendent illisibles. Nous avons corrigé ces problèmes et, par précaution, nous informerons toutes les personnes dont les mots de passe trouvés ont été stockés de cette manière.

Pour être clair, ces mots de passe n’ont jamais été visibles par des personnes autres que Facebook et nous n’avons trouvé aucune preuve à ce jour que des personnes y auraient accédé de manière interne. 

Seulement voilà, selon Brian Krebs qui s'appuie sur une source anonyme de Facebook, les choses sont beaucoup moins idylliques :

Les journaux d'accès indiquaient que 2 000 ingénieurs ou développeurs avaient effectué environ 9 millions de requêtes internes concernant des éléments de données contenant des mots de passe utilisateur en texte brut, déclare cette source qui précise que ce sont entre 200 et 600 millions de mots de passe qui sont concernés.

Facebook enquête pour déterminer combien de mots de passe ont été compromis exactement. Cette enquête a permis de découvrir des archives de mots de passe utilisateurs stockés en clair datant de 2012, toujours selon la source de Brian Krebs.

Dans son communiqué Facebook précise :

Conformément aux meilleures pratiques en matière de sécurité, Facebook masque les mots de passe des utilisateurs lorsqu'ils créent un compte afin que personne au sein de l'entreprise ne puisse les voir. En termes de sécurité, nous «hachons» et «salons» les mots de passe, en utilisant notamment une fonction appelée «scrypt» ainsi qu'une clé cryptographique qui nous permet de remplacer de manière irréversible votre mot de passe actuel par un jeu de caractères aléatoire. Avec cette technique, nous pouvons valider qu'une personne se connecte avec le mot de passe correct sans avoir à le stocker en texte brut.

Mais sans dire quand ces meilleures pratiques ont été ... mises en pratique :-)