La Commission irlandaise de la protection des données (DPC) a infligé une amende de 91 millions d’euros à Meta Platforms Ireland Limited (MPIL) (100 millions de dollars) pour avoir stocké en clair les mots de passe de centaines de millions d’utilisateurs.
L’incident s’est produit en 2019. À l’époque, Meta l’avait divulgué publiquement et en avait informé DPC, qui avait ouvert une enquête sur les pratiques du géant de la technologie en matière de stockage des données sensibles des utilisateurs.
« En mars 2019, MPIL a informé la DPC qu’elle avait stocké par inadvertance certains mots de passe d’utilisateurs de médias sociaux en » texte brut » sur ses systèmes internes (c’est-à-dire sans protection cryptographique ni cryptage) », lit-on dans l’annonce de la DPC.
Dans la divulgation de 2019, Meta a déclaré avoir trouvé « certains mots de passe d’utilisateur » stockés sur ses systèmes dans un format lisible lors d’un examen de sécurité de routine au début de l’année.
INSTAGRAM Facebook Facebook Lite Bien que la société n’ait pas précisé combien d’utilisateurs ont été touchés, elle a estimé qu’elle informerait « des centaines de millions d’utilisateurs de Facebook Lite, des dizaines de millions d’autres utilisateurs de Facebook » et des millions d’utilisateurs d’Instagram.
Il convient de noter que les mots de passe étaient à la disposition de parties externes et que l’examen n’a révélé aucune preuve d’abus ou d’accès inapproprié.
Le stockage des mots de passe des comptes d’utilisateurs sans protections appropriées, telles que le cryptage et le contrôle d’accès, constitue une violation de plusieurs articles du Règlement Général sur la Protection des Données (RGPD) relatifs aux mesures que les responsables du traitement des données mettent en œuvre pour garantir la sécurité des données des personnes:
- Article 33 (1) – Notification d’une violation de données à caractère personnel: Meta n’a pas informé le DPC en temps opportun qu’elle avait stocké les mots de passe des utilisateurs en clair, ce qui constitue une violation de données à caractère personnel.
- Article 33 (5) – Documentation d’une violation de données à caractère personnel: Meta n’a pas correctement documenté les violations de données à caractère personnel liées au stockage des mots de passe des utilisateurs en clair, ne conservant pas des enregistrements adéquats de l’incident.
- Article 5 (1) (f) – Intégrité et confidentialité: Meta n’a pas mis en œuvre de mesures de sécurité adéquates pour assurer la protection des mots de passe des utilisateurs, car ils étaient stockés en clair, sans cryptage ni protection cryptographique.
- Article 32 (1) – Sécurité du traitement: Meta n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées pour protéger les mots de passe, telles que le cryptage, qui auraient maintenu la confidentialité des données et réduit le risque d’accès non autorisé.
Pour les violations susmentionnées, et compte tenu du fait que Meta a informé volontairement l’autorité irlandaise de protection des données, DPC impose une réprimande officielle et une amende administrative de 91 millions d’euros.
La DPC publiera à une date ultérieure sa décision complète et les informations relatives à l’incident, a indiqué l’agence.