La Commission irlandaise de protection des données (DPC) a infligé à Meta une amende de 91 millions d’euros (101,56 millions de dollars) dans le cadre d’une enquête sur une faille de sécurité en mars 2019, lorsque la société a révélé qu’elle avait stocké par erreur les mots de passe des utilisateurs en clair dans ses systèmes.
L’enquête, lancée par la DPC le mois suivant, a révélé que le géant des médias sociaux avait violé quatre articles différents du Règlement général sur la protection des données (RGPD) de l’Union européenne.
À cette fin, la DPC a reproché à Meta de ne pas avoir informé rapidement la DPC de la violation de données, de documenter les violations de données personnelles concernant le stockage des mots de passe des utilisateurs en clair et d’utiliser les mesures techniques appropriées pour garantir la confidentialité des mots de passe des utilisateurs.
Meta a initialement révélé que la violation de la vie privée avait conduit à l’exposition d’un sous-ensemble de mots de passe Facebook des utilisateurs en clair, bien qu’il ait noté qu’il n’y avait aucune preuve qu’il avait été consulté de manière inappropriée ou abusé en interne.
Selon Krebs sur la sécurité, certains de ces mots de passe remontent à 2012, un employé senior déclarant que « quelque 2 000 ingénieurs ou développeurs ont effectué environ neuf millions de requêtes internes pour des éléments de données contenant des mots de passe utilisateur en clair ».
Un mois plus tard, la société a reconnu que des millions de mots de passe Instagram étaient également stockés de la même manière et qu’elle en informait les utilisateurs concernés.
“Il est largement admis que les mots de passe des utilisateurs ne doivent pas être stockés en clair, compte tenu des risques d’abus liés à l’accès de personnes à ces données”, a déclaré Graham Doyle, commissaire adjoint à la DPC, dans un communiqué de presse.
“Il faut garder à l’esprit que les mots de passe, concernés dans cette affaire, sont particulièrement sensibles, car ils permettraient d’accéder aux comptes des réseaux sociaux des utilisateurs.”
Dans une déclaration partagée avec Associated Press, Meta a déclaré qu’elle avait pris « des mesures immédiates » pour corriger l’erreur et qu’elle avait « signalé ce problème de manière proactive » au DPC.
