KrebsOnSecurity affirme que Facebook a stocké en clair les mots de passe des centaines de millions d’utilisatrices et d’utilisateurs, parfois depuis 2012, et que ses employés (plus de 20 000) y avaient accès…

Comme par hasard, une enquête interne n’aurait pas découvert de cas d’abus de ses employés.

D’après la source de Krebs, entre 200 et 600 millions de comptes de Facebook et Instagram sont concernés. Les journaux d’accès montreraient que 2 000 ingénieurs et développeurs ont émis plus de 9 millions de requêtes pour des éléments contenant les mots de passe en clair.

« Plus on analyse, plus la direction juridique a tendance à réduire l’écart entre les deux bornes de l’intervalle. En ce moment, ils le réduisent encore plus en ne comptant que les choses qui sont aujourd’hui dans l’entrepôt de données. »

Quelques heures après l’alerte de Krebs, Facebook a publié un communiqué, dans lequel elle reconnaît que certains mots de passe étaient sauvegardés en clair, sans donner d’estimation, et sans détailler le nombre d’accès interne à ces mots de passe.

À la place, elle décrit comment elle protège les mots de passe et ose fournir des recommandations de sécurité.

Avec une telle mauvaise foi, aucune excuse et une absence complète de remord, alors que comme toute entreprise, elle est tenue de protéger les données personnelles de ses utilisateurs et d’avertir les autorités rapidement en cas de brèche, il ne reste plus qu’à espérer que les agences de protection des données européennes comme la CNIL s’intéressent à ce sujet, et que les autorités américaines, qui mènent déjà une enquête criminelle sur Facebook, le rajoutent à leur carnet de route.