Meta condamnée à une amende de 91,5 millions d'euros pour faille de sécurité

Meta a été condamnée à une amende de 91,5 millions d'euros par la Commission irlandaise de protection des données (DPC) à la suite de l'achèvement d'une enquête sur une faille de sécurité en 2019. La société a annoncé en janvier de la même année avoir remarqué que certains mots de passe d’utilisateurs étaient stockés au format texte brut. Cependant, avec la mise à jour effectuée un mois plus tard, il a été révélé que les mots de passe de millions d'utilisateurs d'Instagram étaient également stockés dans un format facilement lisible.

Bien que Meta n'ait pas clairement indiqué combien de comptes étaient concernés, un employé senior de l'époque a déclaré à Krebs on Security que l'incident impliquait environ 600 millions de mots de passe. Il a été rapporté que certains mots de passe sont stockés au format texte brut sur les serveurs de l'entreprise depuis 2012, et que plus de 20 000 employés de Facebook peuvent accéder à ces mots de passe. Cependant, la décision de la DPC précise que ces informations ne sont pas partagées avec des parties externes.

La DPC a déclaré que Meta avait violé les règles du Règlement général sur la protection des données (RGPD) de l'Union européenne concernant cette faille de sécurité. La commission a constaté que la société « n’avait pas informé rapidement la DPC d’une violation de données personnelles liée au stockage des mots de passe des utilisateurs au format texte brut » et n’avait pas fourni de documentation adéquate sur cette violation. Il a également déclaré que des mesures techniques appropriées n'avaient pas été prises pour garantir que les mots de passe des utilisateurs étaient protégés contre les opérations non autorisées.

« Il est largement admis que les mots de passe des utilisateurs ne doivent pas être stockés au format texte brut, car il existe un risque élevé d'abus de la part de ceux qui accèdent à ces données », a déclaré Graham Doyle, vice-président du DPC, dans un communiqué. « Les mots de passe en question dans cette affaire sont particulièrement sensibles car ils permettent d'accéder aux comptes de réseaux sociaux des utilisateurs », a-t-il déclaré.

Meta a également reçu un avertissement

Outre l'amende, la Commission a également adressé un avertissement à Meta. Il sera possible d'apprendre plus en détail ce que signifie exactement cet avertissement pour Meta lorsque la commission publiera sa décision finale et d'autres informations pertinentes.