Facebook scan le Web pour protéger les mots de passe des utilisateurs

3
127

La récente déclaration de Facebook est étonnante. Le réseau social annonce qu’il scanne le Web en permanence afin de tenter de repérer un quelconque piratage des identifiants de ses utilisateurs. Avec 1,3 milliard d’identifiants à gérer, le challenge est de taille.

Chris Long, responsable de la sécurité informatique chez Facebook a publié vendredi dernier un post détaillant la stratégie mise en œuvre par le réseau social pour notifier les utilisateurs en cas de piratage. Cette dernière vise à repérer et identifier les logins et mots de passe qui auraient pu fuiter sur le Web.

Pour cela, Facebook aurait développer un outils sur-mesure, qui crawlent le Net en permanence : 

« Nous avons développés un outil en interne capable d’analyser le trafic web et d’identifier les informations de ce type » explique Chris Long « Nous récupérons les archives contenant ces mot de passe et adresses mails, puis nous comparons les adresses avec celles présentes sur nos bases d’utilisateurs. Si les adresses correspondent alors nous chiffrons le mot de passe avec notre algorithme de chiffrement maison ainsi que le sel spécifique à l’utilisateur. Ce qui nous permet ainsi de comparer avec les versions chiffrées des mots de passes utilisateurs enregistrées dans nos bases de données »

Dès qu’un identifiant est détecté, un message est de suite envoyé à l’utilisateur afin de l’inviter à changer au plus vite son mot de passe compromis. Grâce à ce système, Facebook peut dont participer à la protection de ses utilisateurs, sans effectuer d’action manuel puisque tout le processus est automatisé.

A côté de ça, Facebook rappelle que la prudence reste le plus important (notamment pour éviter le vol d’identifiants via phishing) et qu’il est conseillé d’opter pour l’utilisation de l’authentification forte.

Par ailleurs, Facebook n’est pas le seul grand acteur du Web à surveiller le Web de cette façon, Netflix par exemple a lui aussi développé des outils (Scumblr et Sketchy, tous deux open sources) dédiés à la protection de ses utilisateurs.

Les commentaires sont fermés.