Meta condamné à une amende de 91 millions d'euros par l'Irlande pour violation massive de mots de passe

Meta, la société mère de Facebook, a été condamnée à une amende de 91 millions d'euros par la Commission irlandaise de protection des données (DPC) pour une grave violation de la sécurité des mots de passe qui a affecté 36 millions d'utilisateurs de Facebook et d'Instagram dans l'Espace économique européen (EEE).

La faille, découverte début 2019, impliquait que Meta stockait par inadvertance les mots de passe des utilisateurs en texte clair, les exposant ainsi à des risques de sécurité importants.

L'amende souligne l'incapacité de Meta à mettre en œuvre des mesures de sécurité adéquates et son retard à signaler la violation aux régulateurs.

Meta condamné à une lourde amende pour des failles de sécurité majeures

En avril 2019, Meta a informé la DPC irlandaise qu'elle avait « stocké par inadvertance certains mots de passe d'utilisateurs de médias sociaux » dans un format non protégé et lisible sur ses systèmes internes.

Cette découverte a donné lieu à une enquête de la DPC, qui a conclu que les pratiques de stockage de Meta présentaient un risque de sécurité important pour les utilisateurs.

Les mots de passe, stockés en texte clair, ont laissé des millions de comptes vulnérables à une utilisation abusive potentielle par des parties non autorisées qui pourraient accéder aux informations sensibles.

L'enquête de la DPC a révélé que 36 millions d'utilisateurs dans l'EEE, qui comprend l'UE, l'Islande, le Liechtenstein et la Norvège, ont été touchés par la violation.

Bien que Meta ait déclaré qu'il n'y avait aucune preuve que les mots de passe avaient été consultés ou utilisés à mauvais escient, le régulateur a jugé que les actions de la société étaient insuffisantes pour protéger les données des utilisateurs et a infligé une lourde amende en réponse à la violation.

Le retard de Meta aggrave l'amende

Un autre facteur critique dans la décision de la DPC a été le retard avec lequel Meta a signalé la violation.

Bien que la société ait découvert le problème en janvier 2019, elle n'a alerté le régulateur qu'en mars de la même année, laissant les informations personnelles de millions d'utilisateurs exposées pendant des mois sans action.

La DPC n’a pas tardé à souligner que le retard dans le signalement constituait une violation de la réglementation GDPR, qui oblige les entreprises à informer les autorités dans les 72 heures suivant l’identification de tels incidents.

Ce retard n’a fait qu’aggraver la gravité de la violation, car il a donné aux acteurs malveillants plus de temps pour potentiellement exploiter la vulnérabilité.

La DPC a qualifié d'inadéquate la gestion de la situation par Meta, notant que le manque de mesures de sécurité appropriées du géant des médias sociaux a directement contribué à l'exposition des données.

Réaction de Meta et prochaines étapes

Pour sa défense, Meta a expliqué que le problème de mot de passe était dû à une erreur interne et que le problème avait été résolu rapidement après sa découverte.

La société affirme que l’erreur n’a affecté qu’un nombre limité d’utilisateurs et elle a informé de manière proactive le DPC une fois le problème identifié.

Meta a également déclaré qu'il n'y avait aucune preuve suggérant que les mots de passe avaient été consultés ou utilisés à des fins malveillantes.

Malgré ces assurances, la DPC a souligné que le stockage de mots de passe en texte clair constitue une violation grave des principes de base de la cybersécurité.

La commission a souligné que les meilleures pratiques imposent que les données sensibles, y compris les mots de passe, soient toujours stockées dans un format crypté afin d’éviter toute utilisation abusive en cas d’accès non autorisé.

Conséquences financières et réputationnelles pour Meta

L’amende de 91 millions d’euros représente une pénalité financière importante pour Meta, mais le préjudice porté à sa réputation pourrait être encore plus coûteux.

Alors que la manière dont les géants de la technologie traitent les données personnelles fait l’objet d’une attention croissante, notamment à la lumière des réglementations GDPR, l’incident s’ajoute à la liste croissante des défis auxquels Meta est confronté dans l’UE.

Cette violation constitue un rappel brutal de l’importance de mesures de cybersécurité robustes, en particulier lorsqu’il s’agit de gérer les informations sensibles des utilisateurs.

Cette dernière amende s’ajoute à une série de mesures réglementaires prises contre Meta par les autorités européennes.

Compte tenu de la vaste base d'utilisateurs et de l'influence considérable de l'entreprise, des incidents comme ceux-ci alimentent encore plus les inquiétudes quant à la manière dont elle gère les données personnelles qui lui sont confiées par des millions de personnes dans le monde.

Renforcement de la surveillance réglementaire

La décision de la DPC d'imposer une amende importante à Meta envoie un message clair aux autres entreprises opérant dans l'UE : le non-respect des normes du RGPD entraînera de graves conséquences.

Outre la sanction financière, la gestion de la violation par Meta souligne la nécessité d'une surveillance réglementaire renforcée dans le secteur technologique.

Alors que les cyberattaques et les violations de données deviennent de plus en plus courantes, les régulateurs du monde entier redoublent d’efforts pour demander des comptes aux entreprises en cas de manquement à la sécurité et à la transparence.

Pour Meta, l’amende de 91 millions d’euros pourrait n’être qu’un début, alors que l’entreprise continue de faire l’objet d’un examen minutieux de ses pratiques en matière de confidentialité des données dans plusieurs juridictions.