Un expert en sécurité officiant sous le nom d'e-Sushi a récemment mis en avant une situation assez perturbante. Une capture d'écran partagée sur la toile montre ainsi le réseau social Facebook exiger des utilisateurs de communiquer le mot de passe de leur adresse email afin de maintenir leur accès au site.
Nombreux sont les sites à exiger des utilisateurs de confirmer qu’ils sont bien détenteurs du compte mail renseigné, ne serait-ce que pour valider l'existence de la boite mail en question. Mais Facebook est allé plus loin en proposant aux utilisateurs de se connecter directement en renseignant leur mot de passe lié au compte mail.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you're practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) 31 mars 2019
Outre la question de la confidentialité de l'information, il s'agit d'une pratique à risque : Facebook est bien connu pour ses fuites à tous les niveaux... D'ailleurs la procédure ne relève d'aucun intérêt sécuritaire pour Facebook lui-même. Le problème, c'est que certains utilisateurs confrontés à la situation n'ont pas eu d'autre choix que de partager leur mot de passe pour continuer à accéder au site puis qu'aucune alternative n'était proposée.
La situation est d'autant plus scandaleuse que Facebook aurait, selon Business Insider, exploité les comptes ainsi récupérés pour importer sans consentement des contacts mail d'utilisateurs vers ses bases de données.
Face à ce nouveau scandale, Facebook a indiqué que les mots de passe ainsi récupérés n'étaient pas stockés... Et que ce système allait disparaitre prochainement.
