Meta condamné à 91 millions d'euros pour avoir stocké les mots de passe Facebook et Instagram en texte clair

La Commission irlandaise de protection des données (DPC) a infligé à Meta Platforms Ireland Limited (MPIL) une amende de 91 millions d’euros (100 millions de dollars) pour avoir stocké par inadvertance des centaines de millions de mots de passe d’utilisateurs en texte clair.

Elle a également adressé un avertissement à l’entreprise à ce sujet.

En mars 2019, Meta a informé la DPC qu’elle avait stocké incorrectement certains mots de passe d’utilisateurs Facebook en texte clair sur ses systèmes internes, c’est-à-dire sans protection cryptographique ni chiffrement. Elle a également reconnu publiquement l’incident à l’époque.

« Dans le cadre d’un examen de sécurité de routine en janvier, nous avons constaté que certains mots de passe d’utilisateurs étaient stockés dans un format lisible au sein de nos systèmes de stockage de données internes. Cela a attiré notre attention car nos systèmes de connexion sont conçus pour masquer les mots de passe à l’aide de techniques qui les rendent illisibles », a déclaré Meta dans un communiqué de presse en mars 2019.

Bien que l’entreprise n’ait pas révélé combien d’utilisateurs étaient concernés par le problème, elle a estimé qu’elle notifierait « des centaines de millions d’utilisateurs de Facebook Lite, des dizaines de millions d’autres utilisateurs de Facebook » et « des millions d’utilisateurs d’Instagram ».

À l’époque, Meta a déclaré n’avoir trouvé aucune preuve que les mots de passe avaient été mis à la disposition de parties externes et qu’ils n’avaient pas été abusés ou accédés de manière inappropriée en interne.

Suite à la divulgation de l’incident par Meta, la DPC a enquêté sur les pratiques de stockage de mots de passe de l’entreprise en avril 2019 afin d’évaluer la conformité de MPIL avec le Règlement général sur la protection des données (RGPD) de l’Union européenne.

En particulier, le géant technologique avait enfreint quatre articles différents du RGPD, qui incluent le non-respect de l’obligation d’informer la DPC des violations de données personnelles, la documentation des violations de données personnelles concernant le stockage des mots de passe d’utilisateurs en texte clair, le non-respect de l’utilisation de mesures techniques ou organisationnelles appropriées pour protéger les données de mots de passe des utilisateurs contre un traitement non autorisé et l’utilisation de mesures techniques et organisationnelles appropriées pour garantir la confidentialité continue des mots de passe des utilisateurs.

« Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en ‘texte clair’ compte tenu des risques d’abus qui découlent de l’accès à de telles données. Il faut garder à l’esprit que les mots de passe concernés dans ce cas sont particulièrement sensibles, car ils permettraient d’accéder aux comptes de réseaux sociaux des utilisateurs », a déclaré Graham Doyle, commissaire adjoint à la DPC, dans un communiqué.

La DPC a également déclaré dans un communiqué de presse : « Le RGPD exige que les responsables du traitement des données mettent en œuvre des mesures de sécurité appropriées lors du traitement des données personnelles, en tenant compte de facteurs tels que les risques pour les utilisateurs de services et la nature du traitement des données. Afin de maintenir la sécurité, les responsables du traitement des données doivent évaluer les risques inhérents au traitement et mettre en œuvre des mesures pour atténuer ces risques. »

En réponse aux violations du RGPD mentionnées ci-dessus, la DPC a imposé une amende de 91 millions d’euros (100 millions de dollars) à Meta et un avertissement conformément à l’article 58(2)(b) du RGPD. L’agence publiera les informations complètes et d’autres informations relatives à l’incident en temps voulu.

Réagissant à l’amende de la DPC, Meta a déclaré dans un communiqué partagé avec l’Associated Press : « Nous avons pris des mesures immédiates pour corriger cette erreur, et il n’y a aucune preuve que ces mots de passe aient été abusés ou accédés de manière inappropriée. Nous avons signalé proactivement ce problème à notre régulateur principal, la Commission irlandaise de protection des données, et avons collaboré de manière constructive avec eux tout au long de cette enquête.