Dans le contexte de l'édition 2024 de sa grande conférence Connect, c'est une publicité que Meta n'appréciera pas. Elle fait resurgir du passé une vieille affaire pour laquelle le groupe Meta est sanctionné d'une amende de 91 millions d'euros par la Data Protection Commission.
La Cnil irlandaise reproche à Meta plusieurs infractions au Règlement général sur la protection des données (RGPD) en vigueur en Europe. Des manquements en matière de notification et de documentation d'une violation de données à caractère personnel, ou encore un défaut de mesures techniques idoines pour la sécurité des données.
Des mots de passe stockés en clair
En mars 2019, Meta - ou plutôt le groupe Facebook à l'époque - avait reconnu avoir stocké des mots de passe... en clair sur ses serveurs. Une grosse bourde qui avait été découverte lors d'un contrôle de sécurité de routine en janvier de la même année.
Ce problème aurait touché des centaines de millions d'utilisateurs de Facebook Lite, des dizaines de millions d'utilisateurs de Facebook et des millions d'utilisateurs d'Instagram. Les mots de passe non chiffrés figuraient dans des logs accessibles pour des milliers d'ingénieurs et de développeurs de Facebook.
Avec cet énorme bug inexpliqué, le groupe avait assuré qu'il n'y avait pas eu d'utilisation abusive en interne ou d'accès de manière inappropriée, ni d'exfiltration. La DPC avait lancé une enquête en avril 2019, après avoir été informé… tardivement par Meta d'un " stockage par inadvertance de certains mots de passe d'utilisateurs de réseaux sociaux en clair. "
Meta minimise l'affaire
" Il est largement admis que les mots de passe des utilisateurs ne doivent pas être stockés en clair, compte tenu des risques d'abus qui découlent de l'accès à ces données par des personnes. Il faut garder à l'esprit que les mots de passe dont il est question dans ce cas sont particulièrement sensibles ", commente Graham Doyle, commissaire adjoint de la DPC.
Un porte-parole de Meta déclare (TechCrunch) que des mesures avaient été immédiatement prises pour corriger l'erreur dans les processus de gestion des mots de passe. " Nous avons signalé ce problème de manière proactive à la DPC, et nous avons collaboré de manière constructive avec elle tout au long de l'enquête. "
