Meta écope d'une amende de 106 M$ pour des mots de passe stockés en clair
- Nadim Lefebvre
- Il y a 7 jours (Màj il y a 7 jours)
- 💬 5 coms
- 🔈 Écouter
Meta, la maison-mère de Facebook et Instagram, a écopé d'une amende de 106 millions de dollars infligée par le régulateur irlandais pour avoir stocké les mots de passe de centaines de millions d'utilisateurs en clair sur ses serveurs internes. Une pratique qui viole le règlement européen sur la protection des données (RGPD).
Jusqu'à 600 millions de mots de passe exposés
Selon les informations révélées en 2019, ce sont jusqu'à 600 millions de mots de passe Facebook et Instagram qui étaient stockés en texte brut, sans aucun chiffrement. Certains d'entre eux étaient dans cet état vulnérable depuis 2012 et plus de 20 000 employés de Meta pouvaient y accéder.
La firme de Mark Zuckerberg avait alors reconnu une "erreur" et assuré avoir pris des mesures immédiates pour y remédier. Mais cela n'a pas suffi à éviter les foudres de la Commission irlandaise de protection des données (DPC), qui fait office de gendarme européen pour Meta dont le siège est à Dublin.
De multiples infractions au RGPD
Au terme d'une longue enquête, la DPC a conclu que Meta avait enfreint plusieurs règles du RGPD. Le géant des réseaux sociaux n'a pas notifié le régulateur de cette faille de sécurité dans les délais impartis, n'a pas documenté correctement l'incident et n'a pas mis en place les mesures techniques appropriées pour protéger les mots de passe.
"Il est communément admis que les mots de passe ne doivent pas être stockés en clair, compte tenu des risques d'abus qui découlent de l'accès à ces données", a souligné le vice-commissaire de la DPC Graham Doyle. Avec les adresses e-mail et les mots de passe, un attaquant aurait pu prendre le contrôle de centaines de millions de comptes.
Une amende jugée trop clémente
Si l'amende de 106 millions de dollars peut paraître conséquente, elle reste relativement modeste au regard de la gravité et de la durée de cette faille de sécurité. Le RGPD permet en effet d'infliger des sanctions allant jusqu'à 4% du chiffre d'affaires mondial.
Meta cumule déjà les plus grosses amendes pour violation du RGPD, avec notamment 1,31 milliard de dollars pour avoir transféré illégalement des données d'utilisateurs européens de Facebook hors de l'UE. Mais pour que le géant californien prenne vraiment au sérieux la protection de la vie privée, il faudrait sans doute taper encore plus fort au portefeuille.
Meta est l'entreprise des GAFAM la plus sanctionnée par les autorités européennes pour des infractions au RGPD, et cela ne semble pas s'arrêter. Apple, qui a d'autres déboires liés aux DMA et DSA n'est pas connue pour prendre à la légère la protection des données de ses utilisateurs. Pour cause, l'entreprise n'est quasiment jamais sanctionnée et il s'agit d'un argument majeur de son marketing.
Source