Meta a été condamnée à une amende de 91 millions d’euros après la révélation que 600 millions de mots de passe de Facebook et Instagram étaient stockés en texte clair. Ce manquement à la sécurité a soulevé de nombreuses inquiétudes sur la gestion des données personnelles par l’entreprise.
Une partie de ces mots de passe était exposée sans protection depuis 2012 et pouvait être consultée par plus de 20 000 employés de Meta. Une situation alarmante pour les utilisateurs.
Un incident prolongé
La brèche de sécurité a été mise en lumière en 2019, bien qu’elle ait perduré pendant sept ans, révèlent les reports. Cela soulève des questions d’éthique et de responsabilité quant à la gestion des données utilisateurs.
Un ancien cadre de l’entreprise a confié à Krebs on Security que jusqu’à 600 millions de mots de passe étaient concernés. Certains restaient stockés dans un format lisible depuis 2012.
En ne protégeant pas correctement ces mots de passe, Meta a enfreint des lois essentielles. De plus, l’entreprise n’a pas respecté son obligation légale de signaler rapidement cette violation aux régulateurs après sa découverte.
La Commission irlandaise de protection des données (DPC) a constaté plusieurs violations des règles du GDPR, indiquant que Meta n’a pas informé le DPC d’une brèche concernant le stockage de mots de passe d’utilisateurs en texte clair sans délai excessif.
Des conséquences limitées
Une amende de 91 millions d’euros peut sembler dérisoire au regard de la gravité de la situation et de la période prolongée durant laquelle ces failles ont existé. Avec des adresses e-mail et des mots de passe exposés, un attaquant aurait pu prendre le contrôle de millions de comptes.
En particulier pour Facebook, cette brèche aurait pu rendre accessibles des publications que les utilisateurs souhaitaient garder privées, ce qui soulève des préoccupations sur la vie privée.
La législation GDPR permet aux entreprises d’encourir des amendes pouvant atteindre 4 % de leur chiffre d’affaires mondial. Par conséquent, une amende plus significative aurait pu être envisagée. Ce n’est que lorsque des sanctions suffisamment sévères seront appliquées que les entreprises commenceront à prendre au sérieux leur responsabilité en matière de protection de la vie privée.
Photo par Mourizal Zativa sur Unsplash