“Une liste de mots de passe en clair en provenance de [indiquer ici un service populaire] a été diffusée, des millions de comptes sont concernés”. Ça vous rappelle quelque chose ? C’est typiquement le genre de phrase que l’on voit malheureusement assez régulièrement avec divers services visés comme, tout récemment, Dropbox. À chaque fois, c’est la même chose : on répète qu’il est nécessaire d’avoir un mot de passe sécurisé et, surtout, unique : si vous utilisez toujours le même mot de passe, en cas de fuite, tout le monde pourra accéder à tous vos comptes, ce qui est assez fâcheux.
Facebook le sait bien, et le réseau social a ainsi annoncé la mise en place d’un nouveau système permettant de sécuriser au maximum les mots de passe de ses utilisateurs. L’idée : récupérer les listes des mots de passe fuités.
Récupérer, mais pas conserver, ni même faire lire par un humain : il n’est pas question de donner aux employés de Facebook toutes les clés pour aller sur tous les comptes fuités (pour cela, il faudra qu’ils récupèrent eux-mêmes les fichiers publics…).
En réalité, Facebook va faire exactement ce à quoi vous devez penser dès maintenant : il récupère les couples e-mail / mot de passe, chiffre le mot de passe comme il le fait quand vous entrez le vôtre sur le réseau social, et compare le tout à sa base de données.
Ensuite, c’est simple : si ce même couple e-mail / mot de passe existe sur Facebook, l’utilisateur concerné sera mis au courant et il lui sera demandé de changer de mot de passe, afin d’éviter les risques de prise de contrôle du compte par un tiers (vous savez, ce fameux “piratage” de compte Facebook…).
L’idée est bonne finalement : plutôt que de se plaindre de la fuite de mots de passe, on en prend parti, afin de toujours plus sécuriser ceux qui n’ont pas (encore) fuité.