La CNIL sanctionne Free : mots de passe trop faibles, transmis et stockés en clair, violations de données…

La CNIL sanctionne Free : mots de passe trop faibles, transmis et stockés en clair, violations de données…

Free doxe

Avatar de l'auteur

Jean-Marc Manach

Publié dansDroit

08/12/2022
33
La CNIL sanctionne Free : mots de passe trop faibles, transmis et stockés en clair, violations de données…

Après Free Mobile en janvier, la CNIL sanctionne sa maison mère à hauteur de 300 000 euros, pour avoir refusé de révéler l'identité de son ou ses courtiers de données à des plaignants ayant fait l'objet de prospects, et pour avoir transmis et stocké (en clair) les mots de passe (de 8 caractères) de ses clients, notamment. 

La CNIL vient de sanctionner Free d'une amende de 300 000 euros, pour quatre manquements aux articles 12, 15, 17, 32 et 33 du RGPD. Si la majeure partie d'entre eux ont depuis été résolus « dans le cadre de la procédure », elle enjoint la société de révéler l'identité de son ou ses courtiers de données d'ici à 3 mois, « sous astreinte de 500 euros par jour de retard ».

L'autorité de protection des données personnelles explique en effet avoir reçu plusieurs plaintes évoquant des difficultés rencontrées par des personnes dans la prise en compte, par l’opérateur de téléphonie fixe et d'accès à Internet Free, de leurs demandes d’accès et d’effacement de leurs données personnelles.

Or, des contrôles sur pièces et sur place ont non seulement confirmé ces manquements, mais également permis d'en découvrir d'autres, ayant trait à la sécurité des données, et plus particulièrement une « faible robustesse des mots de passe », un « stockage et transmission en clair des mots de passe », ainsi que la remise en circulation de 4 137 boîtiers Freebox « mal reconditionnés » et pouvant potentiellement comporter des données d'anciens abonnés dans leurs disques durs.

Pour rappel, Free Mobile avait déjà, lui aussi, fait l'objet d'une sanction de 300 000 euros en janvier 2022 pour avoir, là aussi, manqué à l’obligation de droit d’accès, de droit d'opposition, ainsi que pour avoir transmis par courriel, en clair, les mots de passe de ses utilisateurs, sans qu'ils soient temporaires et sans que la société impose d’en changer.

Des « erreurs humaines isolées »

Dans sa délibération, la formation restreinte de la CNIL précise avoir reçu, entre octobre 2018 et novembre 2019, 41 plaintes à l'encontre de Free, dont 10 ont été examinées dans le cadre de cette procédure de sanction. Cinq portaient « notamment sur l’accès aux données à caractère personnel », et quatre « plus particulièrement l’obtention d’une information sur la source » d’où provenaient les données personnelles les concernant.

Or, constate le rapporteur de la formation restreinte de la CNIL, Free n’a soit pas donné suite dans les délais prescrits aux demandes précitées des plaignants (à savoir un mois maximum), soit leur a apporté une réponse incomplète s’agissant de la provenance de leurs données personnelles.

En défense, Free plaide des « erreurs humaines isolées » d'une part, faisant d'autre part valoir que la CNIL lui reprochait de ne pas avoir répondu dans les temps à deux plaintes seulement, sur les « environ 600 » qu'elle reçoit par an.

« Enfin, la société indique que ces saisines sont antérieures à la mise en place d’un nouvel outil de ticketing qu’elle utilise depuis juin 2019, qui a permis d’apporter des améliorations à la procédure de traitement des demandes d’exercice de droit. »

Free oppose à la CNIL le « secret des affaires »

S’agissant des demandes d’informations sur la source des données, Free oppose à la CNIL le « secret des affaires » pour refuser de révéler l’identité du courtier. 

À quoi la formation restreinte rétorque que le « secret des affaires » s’applique uniquement à l’article 15-4 du RGPD, relatif aux personnes demandant une copie de leurs données, et non à l’article 15-1 du RGPD, relatif aux personnes demandant des informations à un responsable de traitement qui procède au traitement de leurs données : 

« En l’espèce, la formation restreinte note que les plaignants ne sollicitent pas de la société l’obtention d’une copie de leurs données ou l’accès à ces données, mais seulement une information quant à la source d’où proviennent leurs données. »

La formation restreinte considère, en outre, que le droit d’accès de la personne concernée constitue « une garantie fondamentale de la transparence des modalités de traitement des données », et en déduit que le responsable de traitement doit « par principe » communiquer « la source spécifique » relative aux données.

La limitation du droit d’accès aux indications de la « nature des sources, des types d’organismes, d’entreprises et de secteurs » ne saurait par ailleurs intervenir que lorsque le responsable du traitement ne détient pas cette information.

La formation restreinte estime cela dit que le refus de communiquer l’identité du courtier en données, alors que la société dispose de cette information, et de limiter le droit d’accès à la seule « source primaire » de la collecte, « revient à empêcher la personne concernée de pouvoir vérifier la licéité du traitement effectué par le responsable de traitement et, en particulier, la licéité des transmissions de données déjà effectuées » : 

« La formation restreinte considère, dès lors, que le droit de disposer de l’identité de la source des données est nécessaire pour permettre à la personne concernée de donner son consentement et d’exercer les droits qui lui sont conférés par le RGPD, en particulier le droit d’opposition, selon le type de prospection commerciale mise en œuvre par le responsable de traitement ayant obtenu les données auprès de courtiers. »

Free précise par ailleurs avoir depuis « fait évoluer ses procédures au cours de la procédure de sanction », et qu’elle sollicite désormais ses courtiers en données afin qu’ils lui transmettent l’identité de la source primaire à l’origine de cette collecte, information que la société transmet à son tour aux demandeurs.

La formation restreinte n'en considère pas moins que la société « n’a pas fourni, à la date de la clôture de l’instruction », d’éléments permettant d’attester d’une mise en conformité s’agissant spécifiquement du point relatif à la source des données.

Free devait répondre d'ici à un mois, mais ne l'a fait que trois ans plus tard

Deux autres plaignants avaient en outre demandé la suppression de leur compte de messagerie @free.fr en février 2019, via l’envoi d’un formulaire dédié à la « suppression d’un compte principal Free accès gratuit » sur lequel il était précisé que « la suppression effective des comptes nécessite un délai de 48 heures après réception du courrier ».

Or, non seulement les plaignants n'avaient pas obtenu de réponse à leurs demandes d’effacement formulées par lettre recommandée, mais les contrôles effectués par la CNIL lui ont permis de constater que la base client SIEBEL de Free contenait diverses données à caractère personnel propres aux plaignants, « telles que leur identifiant de connexion, leur nom, prénom et adresse postale ». En outre, le statut de leurs comptes de messagerie électronique free.fr y figurait comme « actif ».

Pour sa défense, Free fait d'abord valoir que les demandes de « suppression d’un compte » free accès gratuit « ne sont pas des demandes d’effacement au sens du RGPD et ne sont encadrées par aucun délai légal », mais qu'elles s’assimilent « à une demande de résiliation de contrat ».

De plus, elle estime être seulement tenue de « respecter le principe de limitation de la conservation des données concernées, sans que cela impose la suppression immédiate de toutes les données concernées ». Et ce, d'autant qu'elle doit par ailleurs respecter l'« obligation légale de conserver les données associées aux comptes de messagerie électronique pendant une durée de 1 an ».

La formation restreinte lui rétorque qu'elle avait cela dit comme autre obligation légale de répondre aux plaignants « dans un délai maximal d'un mois », mais qu'elle ne l'a fait qu'en mai 2022, soit trois ans plus tard, et un mois après avoir reçu le rapport détaillé de la CNIL.

De plus, le manquement est également avéré, au-delà même de l'obligation de conservation des données de connexion, « dès lors que le statut du compte était actif et que la messagerie électronique était encore accessible aux personnes concernées plusieurs années après avoir effectué leurs demandes ».

Des mots de passe (de 8 caractères) transmis (et stockés) en clair

Trois autres plaignants avaient saisi la CNIL au motif que le mot de passe associé aux comptes de messagerie électronique @free.fr était « transmis par courrier électronique ou postal à l’utilisateur et indiqué en clair dans le corps du message ».

Le rapporteur de la CNIL avait en outre pu constater que le mot de passe généré aléatoirement lors de la création d’un compte, lors d’une procédure de récupération ou lors d’un renouvellement du mot de passe, « est d’une longueur de huit caractères et peut comporter uniquement un même type de caractères ». 

Or, tant la CNIL que l'ANSSI avaient pourtant estimé que la robustesse d'un mot de passe relevait de sa longueur d'une part, et qu'il devait être d'« au moins 12 caractères », de sa complexité d'autre part, combinant majuscule, minuscule, chiffre et caractère spécial. 

En outre, la CNIL avait préconisé qu'en cas de mot de passe de 8 caractères, il devrait nécessairement contenir au moins trois de ces quatre catégories, mais également être accompagné d'une mesure supplémentaire de sécurité de type double authentification.

De plus, « l’ensemble des mots de passe [...] était stocké en clair dans la base de données des abonnés de la société jusqu’au 23 janvier 2020 ».

Les recommandations de la CNIL et l'ANSSI « n’ont aucun caractère impératif »

Free se défend en avançant qu'en tant que responsable de traitement, elle est « libre de choisir les mesures de sécurité à mettre en place », et que les recommandations de la CNIL et de l'ANSSI « n’ont aucun caractère impératif ». 

À quoi la formation restreinte rétorque que la recommandation de la CNIL relative aux mots de passe « n’a certes pas un caractère impératif » mais que ces « précautions élémentaires de sécurité correspondent à l’état de l’art », et constituent « un éclairage pertinent pour apprécier la suffisance des mesures mises en place par un responsable de traitement ».

Or, les mesures de sécurité mises en œuvre par free.fr n'étaient « pas adaptées au regard du risque que ferait peser sur la personne concernée la captation de leur identifiant et de leur mot de passe par un tiers », y compris par un employé mal intentionné, et donc que les mesures déployées pour garantir la sécurité des données étaient « insuffisantes ». 

Et ce, alors qu'il résulte de l’article 32 du RGPD que « le responsable de traitement est tenu de s’assurer que le traitement automatisé de données qu’il met en œuvre est suffisamment sécurisé ».

Free fait également valoir qu'à l'époque, les abonnés étaient par ailleurs incités à modifier leur mot de passe sur leur espace abonné. 

Elle indique avoir cela dit cessé de stocker les mots de passe en clair dans sa base de données, avoir également cessé de les transmettre en clair par courrier papier ou électronique, et que les mots de passe devront désormais être conformes aux préconisations de la CNIL.

Une obligation de moyens, pas de résultat ?

Free avait par ailleurs adressé à la CNIL en février 2019 deux notifications de violation de données à caractère personnel, reconnaissant que 4 137 Freebox « ont été remis en circulation sans que leur reconditionnement soit parfait », en raison notamment de « deux erreurs humaines » ayant conduit à la suppression d’une procédure appelée « séquence de test » destinée à effacer les données stockées sur les disques durs des Freebox.

Pour sa défense, Free fait valoir que « l’obligation de sécurité prévue par l’article 32 du RGPD est une obligation de moyen », qui ne lui imposerait uniquement que de mettre en œuvre des mesures de sécurité adaptées aux risques du traitement qu’elle effectue. 

Or, elle estime en l’espèce que les mesures mises en œuvre étaient suffisantes, à mesure qu'il n'existe qu'un « risque anecdotique que les Freebox soient détournées pour y stocker des données sensibles ».

Le fait qu'un seul abonné ait signalé ces faits reviendrait, à l'en croire, à ce qu'un seul accès « effectif à la vie privée d’un ancien abonné se soit réalisé », ce qui « reflète la probabilité limitée que ce risque se matérialise en pratique ».

La société considère en outre que la « gravité de cet incident doit être nuancée compte tenu de la nature des données usuellement stockées sur les Freebox » – qui se limitent principalement à l’enregistrement des programmes TV et marginalement au stockage de photos ou vidéos personnelles.

Free rappelle enfin qu’à l’issue de la campagne visant à rappeler les 4 137 boîtiers concernés, elle a adressé une Freebox de remplacement aux 322 abonnés n’ayant pas restitué leur Freebox et qu’en tout état de cause, celles-ci ont été désactivées en juillet 2022.

Free met trois ans à colmater un risque de violations de données

La formation restreinte lui rétorque que ce n’est pas la violation de données qui est en cause, mais l’insuffisance de mesures de sécurité qui a rendu possible l'incident en question.

Or, c'est précisément parce qu'un usager avait signalé à Free qu'il avait pu accéder à des données d'un précédent client que la société avait découvert l'incident, et donc que ses processus qualité de reconditionnement n'avaient pas été respectés, signe « révélateur de l’insuffisance de mesures techniques et organisationnelles mises en œuvre ».

De plus, l'envoi de 322 Freebox de remplacement aux abonnés ne les ayant pas retournées n'empêche aucunement qu'ils n'aient pu, entre-temps, accéder aux données d'anciens abonnés y figurant : 

« En effet, à la date du 31 mars 2022 – soit plus de trois ans après le signalement de l’incident – la société indiquait que ce risque n’était toujours pas écarté puisque "322 [boîtiers] sont toujours utilisés par les abonnés sans que nous [la société] sachions si les données enregistrées sont celles de l’abonné antérieur ou de l’abonné qui l’utilise" ».

En outre, la désactivation de ces 322 Freebox non restituées, qui a de fait permis d’écarter ce risque, n'a eu lieu qu'en juillet 2022, « soit plus de trois ans après le signalement de l’incident ».

Free devra révéler aux plaignants l'identité de son ou ses courtiers de données

La formation restreinte relève au surplus que Free n’avait pas documenté l'incident au sein d’un registre de violation de données, pas plus qu'elle n'avait documenté le fait d'avoir correctement rapatrié l'ensemble des 4 137 Freebox mal reconditionnées et, le cas échéant, à quelle date, empêchant les contrôleurs de la CNIL de pouvoir estimer la portée du problème, ni s'il avait été résolu : 

« Or, la formation restreinte relève qu’il ressort du principe de responsabilité posé par le RGPD que le responsable de traitement doit suffisamment documenter ses pratiques pour être en mesure de démontrer sa conformité. »

Après avoir relevé que, « dans le cadre de la présente procédure », Free a justifié avoir pris des mesures pour se mettre en conformité avec la majeure partie des obligations découlant du RGPD, la formation restreinte n'en a pas moins décidé de prononcer une injonction l'obligeant à « apporter une réponse exhaustive » aux 4 plaignants réclamant « l'identité du courtier en données à partir duquel elle a obtenu les données des personnes concernées ». 

Et ce, sous peine d'une astreinte de 500 euros par jour de retard à l’issue d’un délai d’un mois suivant la notification de la présente délibération, « qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication ».

33
Avatar de l'auteur

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

#Flock a sa propre vision de l’inclusion

Retour à l’envoyeur

13:39 Flock 15
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

On est déjà à la V2 de Next ?

11:55 21
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Me voilà à poil sur Internet

17:18 Next 16

Sommaire de l'article

Introduction

Des « erreurs humaines isolées »

Free oppose à la CNIL le « secret des affaires »

Free devait répondre d'ici à un mois, mais ne l'a fait que trois ans plus tard

Des mots de passe (de 8 caractères) transmis (et stockés) en clair

Les recommandations de la CNIL et l'ANSSI « n’ont aucun caractère impératif »

Une obligation de moyens, pas de résultat ?

Free met trois ans à colmater un risque de violations de données

Free devra révéler aux plaignants l'identité de son ou ses courtiers de données

#Flock a sa propre vision de l’inclusion

Flock 15
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

21
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 16
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 13
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 10
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 4

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 14

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 10
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 34
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 51
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 8

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 12
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 38
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 7
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Next 151

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Science 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hard 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (33)


bilbonsacquet Abonné
Il y a 12 mois

Stocker les mots de passe des clients en clair jusqu’en 2020 et qu’on est un gros FAI c’est juste effarant et qu’ils n’aient que 300k d’amende l’est également…


127.0.0.1
Il y a 12 mois

le mot de passe associé aux comptes de messagerie électronique @free.fr était « transmis par courrier électronique ou postal à l’utilisateur et indiqué en clair dans le corps du message ».




et Ils auraient préférés qu’il soit chiffré comment dans le courrier ? Vigenère ? Enigma ? :keskidit:


consommateurnumérique Abonné
Il y a 12 mois

Au minimum transmettre le mot de passe dans un courrier séparé de l’identifiant.


consommateurnumérique Abonné
Il y a 12 mois

Il a fallu attendre 2022 pour condamner l’un des 4 plus gros opérateurs hexagonaux, pour des pratiques sur les données dignes des années 2000. Même La Poste Mobile est plus en avance.



Merci Free, 39,99€ ou 49,99 ou 44,99€ avec options, cretin.fr que la pub disait.


Jarodd Abonné
Il y a 12 mois

300k€ c’est en effet peu cher payé, compte tenu des reproches (et de leur nombre).
Idem pour les 500 euros d’astreinte.




Trois autres plaignants avaient saisi la CNIL au motif que le mot de passe associé aux comptes de messagerie électronique @free.fr était « transmis par courrier électronique ou postal à l’utilisateur et indiqué en clair dans le corps du message ».




Comment on fait ces personnes pour faire cette plainte ? À ma connaissance il faut contacter l’organisme en question, attendre un mois, puis saisir la CNIL en cas d’absence de réponse (ou si on n’est pas satisfait).
Mais alors qu’ont demandé ces plaignants, ils ont mis en demeure Free de chiffrer les mots de passe, et constatant que rien n’a été fait ils ont saisi la CNIL ?
Ou bien il y a une autre façon de saisir la CNIL directement pour dire “j’ai remarqué ceci, c’est contraire à la loi Informatique et Libertés” et la CNIL s’empare du sujet ?


Arcy Abonné
Il y a 12 mois

300 000 € pour des mots de passes en clair + une non-prise en compte des demandes de désinscriptions publicitaires, effectivement c’est pas cher payé.



A l’époque (il y a moins de 5 ans), quand j’avais demandé au téléconseiller à parler au DPO, il m’a transmis son responsable hiérarchique qui m’avait affirmé qu’il s’agissait d’un bug informatique, et qu’il s’engageait à ce que je ne sois plus recontacté.



1 an ou 2 plus tard, même problème …


SebGF Abonné
Il y a 12 mois

Amusant, c’est exactement le même montant que pour Free Mobile en janvier 2022. La délibération publiée au Journal Officiel a censuré le chiffre d’affaires de Free en 2020, mais celui-ci est publiquement disponible sur le site d’Iliad. Il était de 2 695 millions d’euros. Si, comme l’indique la CNIL, la sanction prend aussi en compte la santé financière, dans ce cas ça veut dire que Free va très mal.



Mais les résultats d’Iliad ne me semblent pas donner cette impression.




Jarodd a dit:


Comment on fait ces personnes pour faire cette plainte ?




J’imagine de la même façon que j’ai procédé pour une autre entreprise. Utilisation du formulaire de contact pour “demande d’informations”, et récemment j’ai eu ceci en retour :




Nous vous remercions de nous avoir contactés.



Au vu des éléments que vous nous avez communiqués, je vous informe que vous pouvez, si vous le souhaitez, nous adresser une plainte afin que l’on intervienne à l’appui de votre demande.



Pour l’instruction de votre plainte, il est nécessaire que vous nous transmettiez la copie des éléments de preuve que vous détenez (copie écran du formulaire visé, copie écran des adresses de contact pour saisir le DPO de l’organisme,…) .
Pour cela, nous vous remercions de bien vouloir utiliser notre service en ligne de dépôt de plainte accessible depuis notre site internet www.cnil.fr.




En l’occurrence ici, il s’agissait d’un formulaire pour “faire planter son arbre” (les opérations “un truc acheté on plante un arbre”, je me suis dit why not) sur lequel on me demandait subitement de renseigner des données supplémentaires obligatoires (sans aucun lien avec la finalité) et dont la case “Accepter les conditions” est fusionnée avec l’acceptation de la politique de confidentialité (interdit par le RGPD). Et les coordonnées du DPO, trouvées avec spéléo, sont uniquement une adresse postale en Europe de l’Est. Autant dire qu’ils veulent pas être dérangés.



Edit : au passage, l’URL envoyée par mail n’était pas dans les SAN du certificat du site, résultant une belle erreur SSL !



Bref, ça m’a fait tiquer, j’ai fait un petit doc avec le parcours réalisé, et j’ai eu la réponse donnée précédemment. PAs encore ouvert la plainte cela-dit, je n’ai pas encore pris le temps de le faire.



Ca me fait aussi penser que j’ai un courrier de démarchage scanné ne mentionnant ni le responsable du traitement, ni mes droits, ni les coordonnées du DPO à leur communiquer…


Jarodd Abonné
Il y a 12 mois

Merci pour ces précisions :inpactitude:
Donc si j’ai bien compris, la CNIL considère les prises de contact comme des “débuts” de plainte, et s’il faut bétonner le dossier, pas besoin d’attendre le fameux délai d’un mois avant de les contacter.


Corleone57
Il y a 12 mois

affligeant, il a free, il a tout compris qu’ils disaient …. j’en utilise malheureusement encore une
le MFA chez les FAI devrait etre imposé, comme sur les autres fournisseurs de mail (laposte pour les citer)


SebGF Abonné
Il y a 12 mois

Après avoir lu la délibération en entier, apparemment ce qui a contribué à amoindrir l’amende c’est le fait que le violation n’ait pas un caractère systémique (ratio 10 plaintes pour 6.9 millions d’abonnés).


pamputt Abonné
Il y a 12 mois

C’est Free, mais ils ont rien compris ….


ryô Abonné
Il y a 12 mois

J’avais souscrit à l’offre pop en avril 2021, mot de passe reçu par mail. Je me suis connecté pour le modifier, logique.
Quelle surprise de recevoir le nouveau mot de passe imprimé sur le courrier contenant les identifiants avec la box.



Ça me laisse un poil sceptique quant à l’arrêt du stockage en clair en 2020 :transpi:.


fdorin Abonné
Il y a 12 mois

(quote:2109314:ryô)



Ça me laisse un poil sceptique quant à l’arrêt du stockage en clair en 2020 :transpi:.




L’arrêt du stockage en clair ne signifie pas l’arrêt du stockage ;) Il est peut être simplement crypté. C’est un peu mieux, mais le stockage de mot de passe, qu’il soit en clair ou crypté, pose malgré tout de nombreux problèmes, vu la tendance généralisée à réutiliser des mots de passe chez le quidam moyen (moyen dans le sens sans connaissance approfondie liée à la sécurité).


chichillus
Il y a 12 mois

Mais en l’occurrence, si le mdp modifié a pu être envoyé par courrier, c’est que le mot de passe n’a pas été crypté. Peut-être chiffré, mais pas crypté :windu: .


Freeben666 Abonné
Il y a 12 mois

chichillus

Mais en l’occurrence, si le mdp modifié a pu être envoyé par courrier, c’est que le mot de passe n’a pas été crypté. Peut-être chiffré, mais pas crypté :windu: .

L’usage en français veut que “crypté” soit un synonyme de “chiffré”. Personnellement, je n’aime pas, mais se battre contre un usage aussi répandu, c’est une perte de temps.



Pour en revenir au sujet, ils ont certainement chiffré/crypté les mots de passe, au lieu de les hacher comme le voudrait “l’état de l’art” (hash+salt même)


dylem29 Abonné
Il y a 12 mois

Freeben666

L’usage en français veut que “crypté” soit un synonyme de “chiffré”. Personnellement, je n’aime pas, mais se battre contre un usage aussi répandu, c’est une perte de temps.

Pour en revenir au sujet, ils ont certainement chiffré/crypté les mots de passe, au lieu de les hacher comme le voudrait “l’état de l’art” (hash+salt même)

:censored:


chichillus
Il y a 12 mois

Freeben666

L’usage en français veut que “crypté” soit un synonyme de “chiffré”. Personnellement, je n’aime pas, mais se battre contre un usage aussi répandu, c’est une perte de temps.

Pour en revenir au sujet, ils ont certainement chiffré/crypté les mots de passe, au lieu de les hacher comme le voudrait “l’état de l’art” (hash+salt même)

Je voudrais pas trop (re)lancer un grand débat là-dessus, et je comprends que le grand public ne fasse pas la différence, mais techniquement cette différence chiffrement/cryptage est très importante pour les mots de passe, vu qu’on peut faire les deux:




  • chiffrer un mot de passe, ça existe et c’est mal,

  • crypter un mot de passe, ça existe et c’est bien.
    (et tant qu’à faire, avec un vrai hash cryptographique genre bcrypt; pas un bricolage à base de md5+salt, on est plus en 2005)



Et donc on est d’accord, Free a probablement chiffré, pas crypté, donc => mal.


Freeben666 Abonné
Il y a 12 mois

chichillus

Je voudrais pas trop (re)lancer un grand débat là-dessus, et je comprends que le grand public ne fasse pas la différence, mais techniquement cette différence chiffrement/cryptage est très importante pour les mots de passe, vu qu’on peut faire les deux:

  • chiffrer un mot de passe, ça existe et c’est mal,
  • crypter un mot de passe, ça existe et c’est bien. (et tant qu’à faire, avec un vrai hash cryptographique genre bcrypt; pas un bricolage à base de md5+salt, on est plus en 2005)

Et donc on est d’accord, Free a probablement chiffré, pas crypté, donc => mal.

Apparemment tu utilises “crypter” comme synonyme de “hacher”, ce qui est tout aussi faux que de l’utiliser comme synonyme de “chiffrer”.


SebGF Abonné
Il y a 12 mois

chichillus

Mais en l’occurrence, si le mdp modifié a pu être envoyé par courrier, c’est que le mot de passe n’a pas été crypté. Peut-être chiffré, mais pas crypté :windu: .

Ca dépend, si le courrier est généré au même moment que le password, celui-ci peut très bien être machintruqué (histoire d’éviter de dériver sur un débat hors sujet) en base. Par contre il est évident que le PDF (ou autre format) doit circuler de manière chiffrée durant le transit vers l’impression et la mise sous courrier.



En fait ce qu’il manque aussi dans cette chaîne, c’est ce que font les cartes bancaires : le courrier contenant le code PIN possède un adhésif noir bien opaque pour éviter toute lecture par transparence.



Après dans tous les cas, de mon point de vue, envoyer en clair un password reste une pratique totalement foireuse qui compromet immédiatement le secret. Que ce soit un courrier papier ou un email, dans les deux cas c’est aussi sécurisé qu’une carte postale.


fdorin Abonné
Il y a 12 mois

chichillus

Mais en l’occurrence, si le mdp modifié a pu être envoyé par courrier, c’est que le mot de passe n’a pas été crypté. Peut-être chiffré, mais pas crypté :windu: .

J’étais à la base un “ayatollah” de dire chiffrer et non crypter. Quand je m’adresse à des connaisseurs, cela ne pose pas de problème. Quand je m’adresse à des personnes lambda, crypter, ils comprennent, chiffrer non (chiffrer, pour eux, c’est donner un chiffre, comme une évaluation de coût).



Dans mon discours de tous les jours, j’ai donc tendance à plus utiliser “crypter” que “chiffrer”. Mais je suis d’accord que le terme technique officiel, c’est “chiffrer”. Mais le terme le plus compris, c’est “crypter”.




chichillus a dit:




  • chiffrer un mot de passe, ça existe et c’est mal,

  • crypter un mot de passe, ça existe et c’est bien. (et tant qu’à faire, avec un vrai hash cryptographique genre bcrypt; pas un bricolage à base de md5+salt, on est plus en 2005)




En langage courant, crypter = chiffrer. Tu sembles confondre “crypter” et “hasher” (ce qui est encore plus dangereux à mes yeux que le simple amalgame entre chiffrer et crypter, car les algo et les usages derrières ne sont pas du tous les mêmes).


chichillus
Il y a 12 mois

fdorin

J’étais à la base un “ayatollah” de dire chiffrer et non crypter. Quand je m’adresse à des connaisseurs, cela ne pose pas de problème. Quand je m’adresse à des personnes lambda, crypter, ils comprennent, chiffrer non (chiffrer, pour eux, c’est donner un chiffre, comme une évaluation de coût).

Dans mon discours de tous les jours, j’ai donc tendance à plus utiliser “crypter” que “chiffrer”. Mais je suis d’accord que le terme technique officiel, c’est “chiffrer”. Mais le terme le plus compris, c’est “crypter”.

chichillus a dit:

  • chiffrer un mot de passe, ça existe et c’est mal,
  • crypter un mot de passe, ça existe et c’est bien. (et tant qu’à faire, avec un vrai hash cryptographique genre bcrypt; pas un bricolage à base de md5+salt, on est plus en 2005)

En langage courant, crypter = chiffrer. Tu sembles confondre “crypter” et “hasher” (ce qui est encore plus dangereux à mes yeux que le simple amalgame entre chiffrer et crypter, car les algo et les usages derrières ne sont pas du tous les mêmes).

Je vais pas relancer pour un tour de manège :transpi:. On est pas d’accord, ça n’empêchera pas la Terre de tourner.




fdorin a dit:


Tu sembles confondre “crypter” et “hasher” (ce qui est encore plus dangereux à mes yeux que le simple amalgame entre chiffrer et crypter, car les algo et les usages derrières ne sont pas du tous les mêmes).




Là je veux bien des détails. Mais je suppose que c’est juste qu’on n’a pas les mêmes définitions de cryptage et de hashage.


dylem29 Abonné
Il y a 12 mois

fdorin a dit:


L’arrêt du stockage en clair ne signifie pas l’arrêt du stockage ;) Il est peut être simplement crypté. C’est un peu mieux, mais le stockage de mot de passe, qu’il soit en clair ou crypté chiffré , pose malgré tout de nombreux problèmes, vu la tendance généralisée à réutiliser des mots de passe chez le quidam moyen (moyen dans le sens sans connaissance approfondie liée à la sécurité).




:cap:


Inny Abonné
Il y a 12 mois

Il y a une différence : crypter signifie chiffrer sans connaître la clé de chiffrement. Il ne sont pas totalement équivalents.


fdorin Abonné
Il y a 12 mois

chichillus a dit:


Je vais pas relancer pour un tour de manège :transpi:. On est pas d’accord, ça n’empêchera pas la Terre de tourner.




Je ne faisais que donner ma position :smack: Je conçois tout à fait qu’on ait un avis différent du mien. C’était pour dire que je connaissais la différence entre les deux, mais que depuis quelques temps maintenant, je fais, presque volontairement, l’amalgame.




Là je veux bien des détails. Mais je suppose que c’est juste qu’on n’a pas les mêmes définitions de cryptage et de hashage.




Alors, pour information, ce ne sont pas mes définitions, mais celles qui sont reconnues et répandues d’un point de vue technique :




  • chiffrer (et improprement “crypter”) : il s’agit d’une transformation réversible d’une donnée en clair en une autre “incompréhensible” par l’utilisation d’une clé de chiffrement (crypter est un anglicisme souvent employé dans le langage courant)

  • déchiffrer : il s’agit d’appliquer la transformation inverse au chiffrement, en connaissant la clé (exemple d’algo : AES, RSA)

  • décrypter : il s’agit d’appliquer la transformation inverse au chiffrement, en ne connaissant pas la clé. Un bon algorithme de chiffrement rend cette opération extrêmement couteuse et mathématiquement quasi impossible, de part la puissance de calcul nécessaire.

  • hasher : il s’agit d’une transformation non réversible d’une donnée en clair en une autre, souvent de longueur fixe, avec pour caractéristique souhaitée que deux données en clair très proche, donnent 2 hashs très différents (MD5, SHA1, SHA256, BCRYPT, etc…)



En espérant avoir été clair :chinois:


chichillus
Il y a 12 mois

Définitions classiques en effet. Ça me rassure, j’ai pas loupé de truc horrible :transpi:. Et comme quoi, hors choix de fire ou nom l’amalgame, on tombe même d’accord ( :smack: aussi).


hwti Abonné
Il y a 12 mois

La société considère en outre que la « gravité de cet incident doit être nuancée compte tenu de la nature des données usuellement stockées sur les Freebox » – qui se limitent principalement à l’enregistrement des programmes TV et marginalement au stockage de photos ou vidéos personnelles.




J’aimerais bien savoir comment ils peuvent l’affirmer, est-ce qu’ils avouent implicitement regarder le contenu des disques au moment du reconditionnement ? Ou est-ce qu’ils récupèrent des méta-données sur les Freebox (non seulement les types de fichiers stockés, mais aussi les noms de fichiers pour pouvoir différencier les vidéos personnelles ou non) ?


SebGF Abonné
Il y a 12 mois

Je dirais collecte de statistiques d’usage avec les meta données comme source.


yvan Abonné
Il y a 12 mois

500 euros d’astreinte par jour ça doit être le cout d’un avocat spécialisé. Et encore. De ce fait ils ont tout intérêt à payer l’astreinte.


KaraMan Abonné
Il y a 12 mois

(quote:2109276:127.0.0.1)
et Ils auraient préférés qu’il soit chiffré comment dans le courrier ? Vigenère ? Enigma ? :keskidit:




Transmettre un code temporaire (complexe) qui ne permet que la première connexion et au cours de laquelle on doit choisir un mot de passe fort, par exemple ?


127.0.0.1
Il y a 12 mois

KaraMan a dit:


Transmettre un code temporaire (complexe) qui ne permet que la première connexion et au cours de laquelle on doit choisir un mot de passe fort, par exemple ?




Et en quoi c’est davantage chiffré ?



Ca reste un email qui contient en clair un code qui permet de te connecter.


KaraMan Abonné
Il y a 12 mois

L’information en clair ne le reste pas, et si elle est altérée il y en a une trace pour l’utilisateur final (il n’arrive pas à se connecter avec le code temporaire).



Typiquement, un mail dans lequel un mot de passe est en clair (sans obligation de changer ce mot de passe à la connexion suivante) peut n’être jamais changé par l’utilisateur. Si sa boîte est piratée, ce mot de passe peut être utilisé par les pirates tant qu’il n’est pas changé (et l’utilisateur peut ne jamais réaliser qu’il y a exploitation de l’accès à son compte).
Dans le cas d’un code temporaire, si l’utilisateur ne se connecte jamais, le code finira par ne plus être actif (au bous d’un mois, une semaine, un jour…) et s’il se connecte il devra en changer. En cas d’attaque de la boîte mail, le code obtenu par les pirates ne fonctionnera plus même s’il est en clair.
Et si la boîte est piratée avant la première connexion et qu’un pirate utilise le code pour se connecter (et, donc, effectue un changement de mot de passe), l’utilisateur final saura qu’il y a eu une connexion intrusive parce qu’il ne pourra pas se connecter lui-même avec ce code.



C’est d’ailleurs la différence entre un mot de passe pour se connecter (pour “passer” la phase d’authentification) et un code temporaire qui sert à choisir un mot de passe.



Et, bien sûr, le code temporaire (et, a fortiori, les mots de passes une fois changés) doivent être chiffrés du côté du fournisseur de service en cas d’attaque ou de fuite de données (parce que pour le coup ça ne concernerait pas qu’un seul compte, mais potentiellement tous les utilisateurs de ces services).


127.0.0.1
Il y a 12 mois

KaraMan a dit:


.




ok. Donc c’est le coté temporaire + l’obligation de changer qui apporte la sécurité.
C-a-d deux choses qu’on peut aussi imposer au mot-de-passe en clair qui a été envoyé.



Le secret qui permet la première authentification (code, pwd) est forcément “en clair” dans l’email.


KaraMan Abonné
Il y a 12 mois

Absolument. Cela dit, chez Free tout était en clair, sans que ce soit temporaire, et avec une complexité pourrie ^^