violation de mot de passe de Facebook suggère le public considère la cybersécurité est obsolète

La semaine occupée de Facebook comprenait sa reconnaissance d’une autre faille de sécurité massive. Cette fois, la société a reconnu que autant que 600 millions de mots de passe d’utilisateurs ont été stockés en texte clair et accessibles à 20 000 employés, dont 2 000 ont été consultés plus de 9 millions de fois jusqu’en 2012. Pire encore, la société a découvert la violation il y a trois mois, mais essayait de garder le secret jusqu’à ce qu’un whisleblower concerné ait divulgué des détails à KrebsOnSecurity, ce qui a obligé la société à admission le jeudi. Que nous dit cette dernière violation de l’approche de Facebook en matière de sécurité? Il est vraiment époustouflant que la société de la taille et de l’influence de Facebook n’ait pas remarqué qu’elle enregistrait les mots de passe des utilisateurs en texte clair pendant plus de sept ans et que ces mots de passe avaient été découverts lors de plus de 9 millions de recherches au cours de cette période. Une violation de cette ampleur, couvrant plus du quart de la base d’utilisateurs de Facebook, représente presque la moitié de son existence en tant qu’entreprise. Elle suggère que les contrôles de sécurité internes et l’audit des données sensibles n’existent quasiment pas dans l’entreprise. Plus précisément, cela nous rappelle à quel point la société se soucie peu de ses utilisateurs et de leurs données les plus sensibles. Facebook a des professionnels de la cybersécurité lorsqu’il s’agit de ses propres systèmes. Il est important de reconnaître que le flot incessant d’infractions de sécurité de Facebook concerne presque toutes ses interfaces publiques, plutôt que des pirates distants pénétrant dans ses réseaux et exfiltrant ses bases de données. Il est encore plus important de rappeler que presque toutes les violations de la société à ce jour impliquent la date de ses utilisateurs, et non les propres données de Facebook. En d’autres termes, Facebook est tout à fait compétent lorsqu’il s’agit de sécuriser des données importantes, telles que ses propres enregistrements. Elle investit massivement dans le renforcement de ses systèmes et la sécurisation de toutes les manières possibles de ses propres données. Toutefois, s’agissant des utilisateurs, le mépris délibéré de la société pour la sécurité, la sécurité et la confidentialité de ses utilisateurs s’applique désormais au traitement des mots de passe par la société. La journalisation des développeurs, le vecteur à l’origine de la violation, nous rappelle à quel point il est facile pour les informations les plus sensibles de fuir à travers l’entreprise par le biais de pratiques de journalisation inappropriées. Finie l’époque où les entreprises n’hésitaient pas à transférer les informations d’identification des utilisateurs en clair et à les stocker en texte clair dans des bases de données ouvertes et connectées à Internet avec des mots de passe par défaut (malheureusement, cela se produit toujours). Cependant, même les entreprises qui respectent toutes les meilleures pratiques de sécurité standard peuvent subir des violations si elles ne contrôlent pas méticuleusement la manière dont chaque information sensible circule dans l’ensemble de leur infrastructure. Après tout, même le stockage de mots de passe chiffrés est inutile si un développeur peut simplement insérer une ligne de code consignant le mot de passe en clair dans une base de données distante et le mettre à la disposition de l’ensemble de la société. Ce qui rend la dernière violation de Facebook dommageable, c’est qu’elle survient juste après la violation de jeton de la société il ya six mois à peine, lorsqu’un bogue dans son code d’authentification permettait à des attaquants de se connecter à n’importe quel utilisateur et de voler les informations sensibles de plus de 50 millions d’utilisateurs. Le fait que, suite à une brèche massive dans laquelle plus de 50 millions d’utilisateurs ont volé leurs données, Facebook n’a pas procédé à un audit de sécurité descendant de ses systèmes d’authentification, ce qui en dit long sur l’approche de Facebook en matière de sécurité des utilisateurs. Il y a trois mois, l’entreprise a reconnu une autre défaillance de sécurité qui a permis aux photos privées de 6,8 millions d’utilisateurs d’être indûment disponibles pour 1 500 applications créées par 876 développeurs pendant plus d’un mois avant que l’entreprise ne s’en aperçoive. Avec deux violations de sécurité majeures qui se succèdent rapidement, on pourrait penser que Facebook aurait finalement procédé à un audit de sécurité massif de ses systèmes. Pourtant, une fois encore, il semble qu’il n’ait pris aucune mesure pour vérifier comment il gérait les informations d’authentification de l’utilisateur. Ce qui est encore plus troublant, c’est que la société ait tenté de garder cette dernière violation secrète, ne la reconnaissant que lorsque le dénonciateur en a informé le principal blog sur la cybersécurité. Lorsque Facebook a annoncé sa violation de la photo l’année dernière, la société a reconnu qu’elle avait attendu près de deux mois avant de reconnaître publiquement la violation, ce qui la mettrait en infraction possible avec les règles GDPR de l’Union européenne, qui exigent une notification dans les 72 heures. La société a répondu à l’époque qu’elle était convaincue qu’elle avait le pouvoir de décider du début de la fenêtre de 72 heures et qu’elle avait donc décidé, après deux mois d’attente, de commencer le chronométrage de 72 heures et de reconnaître enfin le manquement. Pour sa part, le Commissaire irlandais à la protection des données a noté à l’époque qu’il examinait l’interprétation du règlement général, mais a refusé d’aller plus loin. Il semble que Facebook s’en tient à son approche consistant à traiter le GDPR comme un simple ensemble de recommandations flexibles qu’il peut adapter à ses besoins. Source:info forbes]]>

Laisser un commentaire