Meta condamnée à une amende de 91 millions d’euros pour stockage imprudent des mots de passe
La Commission irlandaise de protection des données (DPC) a récemment infligé à Meta, la société mère de Facebook et Instagram, une amende record de 91 millions d’euros. Cette sanction fait suite à la découverte que 600 millions de mots de passe des utilisateurs étaient stockés en texte clair sur les plateformes, rendant ainsi ces informations vulnérables.
Découverte alarmante des mots de passe en texte clair
Une enquête menée par la DPC a révélé que Meta avait, pendant plusieurs années, conservé les mots de passe de centaines de millions d’utilisateurs sans protection adéquate. Habituellement, les mots de passe devraient être protégés par un processus appelé hashing qui les rend inintelligibles, mais le stockage en texte clair a permis à de nombreux employés d’accéder à ces informations sensibles. Cette situation a été exacerbée par une série d’erreurs commises lors du développement de certaines applications internes.
Sanctions et conséquences pour Meta
Le 27 septembre 2024, la DPC a officiellement sanctionné Meta, malgré le fait que l’entreprise ait reconnu l’incident et prenne des mesures correctives. L’organisme de régulation a ouvert l’enquête il y a cinq ans après que Meta ait informé qu’il avait stocké des mots de passe en texte clair. Graham Doyle, commissaire adjoint de la DPC irlandaise, a souligné l’importance de protéger les mots de passe des utilisateurs et a déclaré : « Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en clair, compte tenu des risques d’abus qui découlent de l’accès à ces données. »
Réaction de Meta face à l’incident
Un porte-parole de Meta a indiqué que l’entreprise avait pris des actions immédiates pour corriger cette faille de sécurité dès qu’elle a été identifiée lors d’un audit de sécurité en 2019. Il a également rassuré que rien ne prouve que les mots de passe aient été abusés ou utilisés de manière inappropriée. Meta a affirmé avoir coopéré de manière constructive avec la DPC tout au long de l’enquête.
Contexte réglementaire en Europe
La DPC joue un rôle crucial en tant qu’autorité de régulation pour les grandes entreprises américaines présentes en Europe, notamment Meta. Jusqu’à présent, la DPC a imposé à Meta des amendes totalisant 2,5 milliards d’euros pour des violations du règlement général sur la protection des données (RGPD) mis en place en 2018. Parmi ces sanctions figure une amende record de 1,2 milliard d’euros prononcée en 2023, qui est actuellement en appel par Meta.
Cette situation soulève de sérieuses questions sur la gestion de la sécurité des données par Meta et met en lumière la nécessité d’une vigilance accrue concernant la protection des informations personnelles des utilisateurs.