Meta condamné à une amende de 102 M$ pour avoir stocké des mots de passe en clair

• La Commission irlandaise de protection des données (DPC) a infligé à Meta une amende de 101,5 millions de dollars (91 millions d’euros) après avoir achevé son enquête sur l’incident de sécurité de 2019
• Meta avait initialement annoncé en janvier 2019 que certains mots de passe d’utilisateurs étaient stockés en clair sur ses serveurs
• Un mois plus tard, l’entreprise a mis à jour sa communication en indiquant que des millions de mots de passe Instagram étaient eux aussi stockés dans un format facilement lisible
• Meta n’a pas précisé combien de comptes avaient été touchés, mais à l’époque, un haut responsable avait indiqué à Krebs on Security que jusqu’à 600 millions de mots de passe étaient concernés
• Certains mots de passe étaient stockés en clair sur les serveurs de l’entreprise depuis 2012, et plus de 20 000 employés de Facebook pouvaient y effectuer des recherches
• La DPC a confirmé que les mots de passe n’avaient pas été transmis à des tiers
• La DPC a estimé que Meta avait enfreint plusieurs règles du RGPD
  • ne pas avoir notifié sans délai à la DPC la violation de données personnelles liée au stockage en clair des mots de passe des utilisateurs
  • ne pas avoir documenté la violation de données personnelles liée au stockage en clair des mots de passe des utilisateurs
  • ne pas avoir utilisé de mesures techniques appropriées pour garantir la sécurité contre le traitement non autorisé des mots de passe des utilisateurs
• Le directeur adjoint de la DPC, Graham Doyle, a déclaré que « les mots de passe des utilisateurs ne devraient pas être stockés en clair, d’autant plus qu’il s’agit de données sensibles permettant notamment l’accès à des comptes de réseaux sociaux »
• En plus de l’amende, la DPC a adressé un avertissement à Meta, et l’on en saura davantage sur ses effets pour l’entreprise lorsque la Commission publiera sa décision finale

L’avis de GN⁺

• Cette affaire devrait servir d’avertissement sur les pratiques de protection des données des grandes entreprises technologiques. Elle rappelle une fois de plus à quel point il est important de gérer les données des utilisateurs en toute sécurité
• Meta devra profiter de cet épisode pour procéder à une révision en profondeur et à une amélioration de ses systèmes de sécurité. Au-delà des mesures techniques comme le chiffrement, des efforts organisationnels tels que la formation des employés et les audits internes semblent également nécessaires
• Le niveau des sanctions pour violation du RGPD continue d’augmenter. Les entreprises doivent reconnaître qu’un respect rigoureux du RGPD et des lois sur la protection des données dans chaque pays est également essentiel du point de vue de la gestion des risques
• Par ailleurs, rien n’indique que la faille de sécurité révélée dans cette affaire ait effectivement été exploitée. Malgré cela, si Meta doit payer une amende aussi importante, c’est vraisemblablement en raison de la gravité du problème et de l’ampleur des violations des règles concernées
• En matière de gestion des mots de passe, diverses mesures de sécurité sont requises au-delà du simple fait d’éviter le stockage en clair, comme l’usage de salt/hash et l’application de politiques de mots de passe robustes. Les entreprises doivent mettre en place une politique de gestion des mots de passe structurée à l’échelle de toute l’organisation et l’appliquer avec rigueur