Wekiwi envoie des mots de passe en clair, le service client les renvoie à une adresse email non vérifiée
We kiwi => Toi prune (par la CNIL)
Wekiwi montre l’exemple de ce qu’il ne faut pas faire sur la gestion des mots de passe. Lors d’un renouvellement, le nouveau est envoyé en clair par email. Pire : le service client nous l’a ressorti six jours plus tard (dans un échange d’email) comme si de rien n’était.
Wekiwi se présente comme un « fournisseur d'électricité et de gaz 100 % digital », comprendre 100 % en ligne. La société existe depuis juin 2018 selon Societe.com. Elle ne propose que des offres avec « un prix indexé sur les tarifs du marché ».
Les tarifs n’ont d’ailleurs rien d’intéressant en cette période : 0,4878 euro TTC le kWh, quand le tarif réglementé d’EDF est à 0,1740 euro TTC, soit trois fois moins cher. C’est à peu près la même chose sur le gaz. La société propose aussi un système de « super-remises » (sic) – on obtient alors le kWh à 0,3678 euro au lieu de 0,4878 euro, quelle aubaine (ou pas) – qui nécessite de rester au moins un an pour en profiter. Mais passons. Ce qui nous intéresse ici, ce ne sont pas les tarifs de Wekiwi, mais la sécurité des données de ses clients.
On pourrait s’attendre à ce qu’une société créée en 2018 et 100 % en ligne propose une gestion « propre » de la confidentialité des données et des procédures de connexion au compte. Force est de constater que ce n’est pas le cas, loin de là.
10 caractères seulement, sans caractères spéciaux
Lors d’une demande de mot de passe perdu effectuée depuis le site, nous avons reçu un email contenant un nouveau mot de passe. 10 caractères de long, avec un mélange de majuscules, minuscules et chiffres, sans caractères spéciaux. Premier point, on est loin des dernières recommandations de la CNIL et de l'ANSSI.
- Phrases de passe : l'ANSSI passe en mode 2.0
- Phrases de passe : la CNIL passe elle aussi en mode 2.0
Il est en effet question de l'équivalent d'une entropie d' « au moins 80 bits ». Si cela ne vous parle pas, cela correspond à un mot de passe de 14 caractères avec des majuscules, minuscules et chiffres, ou de seulement 12 caractères si on ajoute des caractères spéciaux, « à choisir dans une liste d'au moins 37 caractères spéciaux possibles ». Dans le cas de Wekiwi, on est loin du compte.
Quoi qu’il en soit, notre nouveau mot de passe est accompagné du message suivant : « Vous pouvez dès à présent l’utiliser pour vous connecter à votre espace client ». Une pratique dont nous regrettions déjà l’existence il y a plus de 10 ans.
Lors de la connexion au compte, le nouveau mot de passe fonctionne… et aucune demande de changement de celui-ci n’est proposée ou imposée par le site. En effet, certains services envoient parfois des mots de passe temporaires, à changer dès la première utilisation. Ce n’est pas le cas ici.
Besoin de votre mot de passe ? Le service client vous le donne en clair par email…
Mais il y a pire encore : ce même mot de passe nous a été renvoyé par email six jours plus tard par le service client. Nous l’avions contacté par email pour divers soucis, notamment l’impossibilité d’accéder au compte. C’est donc tout naturellement que notre interlocuteur nous le redonne, en clair.
Mail automatique le 10 janvier, réponse du service client le 16 janvier, avec le mot de passe dans le message
Ce n’est pas la même adresse email ? Ce n’est pas un souci…
Vous en voulez encore ? Lorsque nous avons contacté le service client, c’était avec un autre email que celui enregistré sur le compte Wekiwi. Nous avions certes donné le numéro de contrat (qui peut également faire office d’identifiant à la place de l’email), mais rien ne prouvait que nous étions bien qui nous prétendions être. Sans plus de formalité, le mot de passe en clair a donc été renvoyé à une adresse e-mail non vérifiée.
Alors que nous répondons « Je vois avec "joie" que vous stockez mon mot de passe en clair ! » et demandons au passage une copie des informations dont dispose la société à mon sujet au titre du RGPD, l’équipe de Wekiwi répond de manière surprenante :
« Comme indiqué dans nos conditions générales de vente article 9 " ...Le Fournisseur stocke et procède au traitement informatisé des données personnelles du Client afin de gérer la relation clientèle (dont la facturation et le recouvrement) dans le cadre de la vente d’énergie et de services..."
De ce fait, ces informations sont historisées dans le but d'un suivi des traitements de vos demandes. Cependant, nous nous engageons à protéger vos données du mieux que nous pouvons dans notre cadre. Vous pouvez consulter toutes vos informations directement sur votre espace client. »
Bref, il n’y a visiblement rien à redire sur le mot de passe stocké et transmis en clair, tandis que pour l’accès aux données, il n’y a qu’à se rendre dans l’espace client. Spoiler alerte : aucun lien ne permet de télécharger toutes les données.
Nous avons ensuite contacté le DPO pour avoir accès à nos données, qui a pour sa part demandé une confirmation supplémentaire puisque le mail d’où émanait notre demande n’était pas le même que celui enregistré sur le compte.
Rappel : « les mots de passe ne doivent jamais être stockés en clair »
Cet échange de mot de passe en clair pose plusieurs problèmes. Tout d’abord, il est soit stocké en clair, soit de manière chiffrée, mais accessible aux membres de « l’équipe Wekiwi » d’une manière ou d’une autre. Dans le cas contraire, le service client n’aurait pas pu le transmettre six jours après l’avoir changé.
Or, la CNIL est intraitable à ce sujet : « Les mots de passe ne doivent jamais être stockés en clair » (en gras sur son site). Les règles imposent pour rappel d’enregistrer une empreinte du mot de passe, ne permettant pas de remonter à ce dernier même en cas de compromission. La Commission a d’ailleurs condamné Free et Infogreffe, entre autres, pour des mots de passe de 8 caractères seulement, transmis et stockés en clair.
Ensuite, cela signifie que des employés et/ou sous-traitants de Wekiwi peuvent accéder au mot de passe et donc au compte de l’utilisateur. Dans notre cas, impossible de savoir ce qu’il en est puisqu’aucun historique de connexion n’est proposé sur l’espace client.
Et même si ce n’était pas le cas, faire transiter un mot de passe par email n’est jamais une bonne idée car il peut être récupéré simplement en ayant accès à la boite de réception. Dans le compte client, en plus de l’adresse et d’autres données personnelles, on retrouve aussi des coordonnées bancaires. Le récent cas d’Adecco montre les problèmes que cela peut engendrer.
Bien évidemment, un signalement a été fait à la CNIL par nos soins.
Commentaires (31)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 19/01/2023 à 09h45
Je n’ai qu’un mot: classe !
Effectivement, un exemple de tout ce qui ne faut pas faire, et j’osais imaginer que plus personne ne faisait encore cela :/
ça va leur faire une super pub, en plus de la CNIL qui va leur tomber dessus
Le 19/01/2023 à 09h54
Alors la …
Il y a des vedettes !!!!!
Le 19/01/2023 à 09h58
À chaque fois que je vois ce genre de news, j’ai une pensée pour une planche de CommitStrip
La planche en question : Une fonctionnalité de base
Le 19/01/2023 à 14h49
2018 !
C’est un signe :)
Le 19/01/2023 à 09h59
J’ai ici un exemple de logiciel vendu dans le commerce, pour la gestion des ressources humaines, et dont les mots de passes sont stockés en clair dans la base.
On parle de logiciel de plusieurs dizaines de milliers d’euros quand même. Et avec des données un tout petit peu confidentielles. Et d’un éditeur qui pèse 12 000 000€…
Comme d’hab, les gens râlent à l’école, râlent aux formations en disant que ça ne sert à rien ou que ça ne s’applique pas… et au final ne respectent pas ce que l’expérience des autres leur dit.
Le 19/01/2023 à 10h02
On veut un nom
Le 19/01/2023 à 10h05
Je te suggère de le signaler à la CNIL après une plainte auprès de l’utilisateur de ce logiciel (c’est lui le responsable du traitement des données).
Le 19/01/2023 à 10h03
Restez chez EDF, n’alimentez pas ces rapaces qui ne produisent aucune énergie…
Le 19/01/2023 à 10h34
Vu le CA… Je dirais Asys avec GTA?
Le 19/01/2023 à 10h34
J’aime beaucoup ce point de leur politique de confidentialité :
Le 19/01/2023 à 11h06
Ce sous-titre…
Le 19/01/2023 à 12h21
T-shirt corner aussi m’avait envoyé mon mdp par mail en clair… je leur avais envoyé un mail à ce propos, jamais reçu de réponse… je sais pas si c’est toujours le cas, mais j’ai décidé ne me passer de leur service du coup !
Le 19/01/2023 à 13h19
Faudrait inviter le responsable du service informatique à dîner un mercredi soir….
Mais bordel…. Plus ou moins 24 ans d’internet pour tout le monde, et voilà le résultat….
Le 19/01/2023 à 14h56
mais vous vous imaginiez quoi?
on dirait la PME du coin en mode cool-startup avec qui le mdp peut te donner à haute voix ton mdp en l’epelant au support téléphonique…
ils sont actifs depuis 2018, revendent des contrats et sont une équipe qui doit pas dépasser les quarante personnes, dont vingt stagiaires…
quoi de surprenant? j’ai vu tellement de PME faire pareil… si on devait toutes les aligner…..
et je peux vous citer de dizaines d’entreprises qui le font, meme récemment, courriels à l’appui : meme le service public fait pareil !
Le 19/01/2023 à 15h34
Les cybercriminels ont un bel avenir… avec des ahuris pareils qui ne tiennent jamais compte des recommandations des sacahants … Bref encore un domaine ou la médiocrité est l’objectif…
Le 19/01/2023 à 16h07
Tu as reçu un mail du service public avec ton mdp en clair dedans ?
De quel service il s’agit ?
Le 19/01/2023 à 16h31
Le 19/01/2023 à 16h42
Pour un logiciel intranet (je suppose) c’est moins gênant. Ca déporte la sécurité ailleurs dans l’infra certes et c’est plus fragile que si c’est bien fait, mais c’est moins choquant que pour un site web ouvert sur le monde.
Le 20/01/2023 à 06h29
Quel honte!
Le 20/01/2023 à 07h52
Je crois que la CNIL peut maintenant nommer les entités dans ses délibérations ?
Le 20/01/2023 à 08h09
La gestion des identifications/mots de passe est une des briques de base d’une application web… C’est un peut comme si un chirurgien ne se lavait pas les mains de nos jours.
Le 20/01/2023 à 16h54
2023 vient à peine de commencer que déjà il me semble dur que l’on trouve pire que cela.
Champion du monde le dev…
Le 20/01/2023 à 08h23
Marrant, je suis justement en train de bosser pour chiffrer les mots de passe d’une appli parce que ça fait 10 ans qu’ils sont stockés en clair et le super admin a un mot de passe de 1 caractère. (le brute force va être rapide…) Et c’est justement l’arrivée d’un audit de sécu pour la CNIL qui affole tout le monde.
Je voulais faire un hash, mais “faut faire comme sur les autres applis et on va pas cramer trop de temps sur ça” donc on chiffre et on m’a demandé d’envoyer en clair le mot de passe par mail lors d’une régénération…
Ce genre d’histoire est d’une banalité, et le pire c’est qu’en tant de dev, on n’a pas toujours son mot à dire. :(
Le 20/01/2023 à 08h24
C’est pas parce que la majorité le fait que c’est acceptable.
Le 20/01/2023 à 10h04
Ca dépend du statut du dev. Si c’est salarié dans la boite, effectivement, pas grand chose à faire à part faire remonter l’information.
Si c’est dev dans une ESN, il faut faire remonter l’information, pour que l’ESN puisse se protéger au cas où (elle a bien fait son devoir de conseil et que le client la décharge de toute responsabilité).
En tant que dev freelance (mon cas) : je refuse. Point. Quitte à perdre un client. Je n’ai même pas envie de me prendre la tête avec une décharge de responsabilité. En effet, si le client refuse de suivre les recommandations fortes et urgentes d’un expert quel qu’il soit, alors je sais par avance que de toute façon, j’aurais d’autres soucis avec lui plus tard.
Le 20/01/2023 à 15h17
Je suis le seul à tiquer sur le fait que le site te changes ton mot de passe, envoie le nouveau dans un mail, mais te dis que si t’as pas demandé le changement, il faut ignorer ce mail ?
Du coup quoi, l’ancien mot de passe marche encore ? Ou alors il faut ignorer de plus avoir accès à son compte ?
Le 20/01/2023 à 17h00
Ah ben si la méthode de test du mot de passe qui retourne toujours true
Le 21/01/2023 à 16h22
Appli de 2015 je crois. Le mot de passe est vérifié côté client en javascript. Et au moins une des fonctions a un bug dans la vérification qui fait que taper sur echap annule la vérification js.
Sinon la demande de mot de passe se fait par une fonction js (je sais plus laquelle, un truc du genre de “alert” , peut-être “input”), donc quand l’utilisateur tape le mot de passe il est visible à l’écran.
Il s’agit du mot de passe admin (pas de login).
Outre le fait que ce truc doit être déployé à 3 endroits avec 3 proprios/admin et 30 utilisateurs max.
Oh bien sûr qui dit vérification en js côté client dit mot de passe visible en clair dans les sources de la page. Heureusement y’a un commentaire qui dit que c’est pas très sécurisé, parce qu’on peut choper le mot de passe, mais qui ne parle pas du fait que echap suffit à contourner.
Mais ça ne permet pas d’accéder à des données personnelles. Les données personnelles sont en accès libre. Et aller sur la liste des clients envoie TOUS les clients d’un coup (ce qui fait que le truc est très lent maintenant qu’il y a beaucoup de clients), en clair (pas de SSL/TLS).
Est-ce que j’ai battu shadowfox ?
Le 21/01/2023 à 16h31
Ah c’est bon aussi. Il a matière à faire un concour
Le 20/01/2023 à 18h48
Recevoir un mot de passe par mail n’est pas un problème, à condition qu’il soit temporaire (obligation de le changer à la prochaine connexion.
Par contre, te renvoyer ton mot de passe c’est mauvais, même s’ils forcent à en changer ensuite, si jamais tu utilises un pattern pour créer tes mots de passes, quelqu’un pourrait le comprendre.
Le 21/01/2023 à 12h33
Ou est le problème 😂😂😂