La CNIL condamne EDF à une amende de 600 000 euros pour violation du RGPD, les détails de cette décision

La CNIL condamne EDF à une amende de 600 000 euros pour violation du RGPD, les détails de cette décision

Du MD5… en 2022… tout va bien !

43

La CNIL condamne EDF à une amende de 600 000 euros pour violation du RGPD, les détails de cette décision

EDF est condamnée par la formation restreinte de la CNIL pour plusieurs manquements au RGPD, avec une amende administrative de 600 000 euros à la clé. Plus que le résultat, le raisonnement et le détail des points soulevés par la CNIL sont intéressants à analyser. 

La CNIL explique avoir été « saisie de plusieurs plaintes à l’encontre de la société EDF, portant sur l’exercice des droits entre août 2019 et décembre 2020 ». La Commission a effectué un contrôle en ligne du site www.edf.fr le 15 février 2021. Un questionnaire était envoyé quelques semaines plus tard (le 25 mars) auquel EDF a répondu le 29 avril. Des échanges complémentaires se sont déroulés jusqu’en septembre. 

En juin de cette année, la rapporteure proposait à la formation restreinte de la CNIL de prononcer « une amende administrative au regard des manquements » et de rendre la décision publique pendant deux ans. Après de nouveaux échanges pendant quelques semaines, le contradictoire était clos mi-septembre. 

Afin de planter le décor, la CNIL rappelle que, « fin décembre 2020, la société comptait dans ses bases de données 25,7 millions de clients pour la fourniture d’électricité, de gaz et de services  », soit l’équivalent de 40 % de la population française environ, excusez du peu.

Surprise (ou pas) : un formulaire non rempli ne vaut pas consentement

Dans la délibération de la formation restreinte, le premier manquement concerne « l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de prospection commerciale par voie électronique ». Problème, suite à des opérations de ce genre, la société n’était « pas en mesure de disposer et d’apporter la preuve d’un consentement valablement exprimé par les prospects dont les données proviennent de courtiers en données avant d’être démarchées » .

Ce n’est pas tout. Dans le cadre de l’instruction de trois plaintes, EDF n’a pu obtenir du courtier des éléments prouvant que le recueil du consentement avait bien été réalisé : « le courtier en données a produit le formulaire type, et non le formulaire rempli individuellement par chaque prospect ». 

Pour sa défense, EDF expliquait que les prospections exploitant des données collectées auprès de courtiers « sont très ponctuelles et visent un nombre non significatif de prospects ». Elle ajoutait avoir « toujours strictement encadré ses relations contractuelles avec les courtiers en données auxquels elle fait appel et que des échanges fréquents avaient lieu, même s’ils n’étaient pas nécessairement formalisés sous forme d’audits ». Enfin, elle affirmait « que les données déjà collectées dans le cadre de campagnes précédentes ont été supprimées ». Depuis novembre 2021, des audits formalisés sont en place pour éviter que cela ne se reproduise. 

Quoi qu’il en soit, la CNIL « considère dès lors que les mesures mises en place par la société EDF pour s’assurer auprès de ses partenaires que le consentement a été valablement donné par les prospects avant d’être démarchés étaient insuffisantes ». EDF a  « méconnu ses obligations résultant des articles L. 34 - 5 du CPCE et 7, paragraphe 1, du RGPD ».

EDF joue la carte de la refonte en cours

La deuxième série de reproches concerne le manquement à l’obligation d’information des personnes. Il s’agit des articles 13 et 14 du RGPD qui disposent que des informations doivent être communiquées aux personnes concernées, notamment « les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ».

La rapporteure explique que « la base légale n’était pas mentionnée et les durées de conservation des données n’étaient pas développées de manière suffisamment précise ». De plus, « les personnes démarchées par voie postale par la société n’étaient pas informées de la source précise de leurs données à caractère personnel, à savoir l’identité de la société auprès de laquelle EDF les a obtenues ».

La société concède que sa charte de protection des données personnelles contenait l’ensemble des données au titre de l’article 13 du RGPD, mais reconnait que seules « certaines durées de conservation étaient mentionnées ». EDF ajoute qu’une refonte des durées de conservation était en cours lors du contrôle en ligne : « elle considère qu’il n’était donc pas possible d’indiquer l’ensemble des durées de conservation, puisque celles-ci étaient en cours de revue et de modification ».

Des informations vagues et imprécises 

L’argument ne fait pas mouche auprès de la formation restreinte : « il n’en demeure pas moins que, au moment de ces constatations, ladite charte précisait " Nous ne conservons vos données que pendant la durée nécessaire à leur traitement selon la finalité qui a été fixée " ». Une information « vague et imprécise », insuffisante pour garantir un traitement équitable et transparent.

Dans ses courriers, EDF indiquait que les données ont été collectées auprès d’un « organisme spécialisé dans l’enrichissement de données ».  C’est l’article 14 du RGPD dont il est question ici. Pour la CNIL, cela manque de précision, car cette information ne permet pas de « garantir un traitement équitable et transparent […] en particulier dans un contexte de reventes successives de données entre de multiples acteurs et dans l’hypothèse où le prospect souhaiterait exercer ses droits auprès du courtier en données dont il ignore l’identité ».

C’est donc un combo perdant des articles 13 et 14 sur l’obligation d’information des personnes. La CNIL note néanmoins que dans le premier cas, EDF détaille les bases légales et durées de conservation dans sa charte évoquée, tandis que dans le second elle a « modifié les mentions d’information figurant dans les courriers de prospection ».

Des manquements sur l’obligation de transparence

On enchaine avec des manquements sur l’exercice des droits des personnes, en lien avec les articles 12, 15 et 21. Premier point abordé : l’obligation de transparence. La CNIL se base sur deux saisines pour affirmer que la société n’a pas respecté ce point du RGPD :

« S’agissant de la première saisine, la rapporteure a relevé que la société EDF avait contacté le plaignant par téléphone pour lui apporter une réponse, sans lui adresser d’écrit, en violation de l’article 12, paragraphe 1, du RGPD. En outre, la réponse qui lui a été apportée sur l’organisme à l’origine des données était erronée. Enfin, la société a répondu à ses questions, de nouveau par téléphone, plus de neuf mois plus tard.

S’agissant de la seconde saisine, la rapporteure a relevé que la société avait clôturé la demande du plaignant au lieu de la transmettre au service en charge des demandes d’exercice de droits et n’avait pas répondu […]. Ce n’est que six mois après sa demande initiale – dans le cadre de la procédure de contrôle – qu’une réponse a été apportée au plaignant ».

Dans le premier cas, EDF plaide « l’erreur humaine commise par le conseiller, lequel n’a pas suivi les procédures internes ». Concernant les retards, elle met en avant un « contexte particulièrement difficile à la fois de la crise sanitaire, qui a conduit à un accroissement du nombre de demandes d’exercice de droit, et de report de la fin de la trêve hivernale au 1er septembre 2020 ». La CNIL en prend note, mais considère tout de même « que le manquement à l’article 12 du RGPD est constitué ».

Article 15 : CNIL 1 - EDF 1, balle au centre

On continue avec l’obligation de respecter le droit d’accès, là encore la CNIL se base sur deux saisines. Dans la première, la première réponse apportée au plaignant par téléphone sur la source des données collectées était erronée. La société reconnait que la réponse était « en partie inexacte » à cause d’une erreur sur la source des données. 

Sur la seconde saisine, la société affirmait à une personne « qu’elle n’avait aucune autre donnée la concernant que son prénom et son nom dans ses bases de données ». Problème pour la rapporteure, cette affirmation était inexacte : la société devait au moins avoir son (ancienne) adresse « pour effectuer le rapprochement avec les nom et prénom de la plaignante, puisque la société EDF lui a adressé un courrier au domicile de ses parents ».

Pour EDF par contre, la réponse du conseiller était correcte « puisque les seules données rattachables à la plaignante étaient ses nom et prénom ». Pour la formation restreinte (qui a suivi la proposition de la rapporteure), « le manquement invoqué n’est pas caractérisé ».

On termine avec le droit des personnes avec l’article 21. Selon la rapporteure et une saisine, la société n’a pas pris en compte l’opposition d’un plaignant « au traitement des données à caractère personnel de son fils mineur à des fins de prospection commerciale ». Il a en effet reçu un second courrier. EDF reconnait un cafouillage interne : « le conseiller a bien procédé à l’effacement des données comme il l’avait indiqué par téléphone au plaignant, mais n’a pas complètement suivi la procédure interne en ne procédant pas à l’opposition avant d’effacer les données ». 

La procédure est désormais simplifiée. Les faits n’étant pas contestés, ils constituent donc un manquement au titre de l’article 21 du RGPD.

Quand EDF utilisait encore MD5 en 2022

Enfin, dernier manquement : l’obligation d’assurer la sécurité des données (article 32). Sur son portail prime énergie, des mots de passe « étaient stockés au moyen de la fonction de hachage MD5 », complètement dépassée aujourd’hui.

EDF affirme pour sa défense que, « depuis janvier 2018, la fonction de hachage SHA-256 est utilisée », mais que, « jusqu’à juillet 2022, les mots de passe de plus de 25 800 comptes étaient conservés de manière non sécurisée, avec la fonction de hachage MD5 ».

L’entreprise se défausse sur un prestataire et tente d’éteindre l’incendie (sans convaincre) : « Le hachage MD5 correspond uniquement au niveau de hachage mis en place historiquement par la société […], sous-traitant d’EDF, et pour lequel seuls quelques milliers de comptes étaient encore concernés en avril 2021. La société ajoute que ces mots de passe étaient tout de même stockés avec la robustesse du mécanisme supplémentaire d’aléa (salage), empêchant les attaques par tables précalculées ».

Peu sensible à ces arguments, la CNIL rappelle que « le recours à la fonction de hachage MD5 par la société n’est plus considéré depuis 2004 comme à l’état de l’art et son utilisation en cryptographie ou en sécurité est proscrite ». EDF n’a que 18 ans de retard.

Le hachage de 2,4 millions de mots de passe manque de sel

Sur l’espace client EDF, ce n’est pas franchement mieux. Selon les déclarations initiales de la société, les mots de passe « étaient stockés sous forme hachée et salée au moyen de la fonction SHA-1, pourtant réputée obsolète ». Lors de sa défense, l’entreprise revient sur sa déclaration et explique que l’algorithme « est en réalité SHA-512 complété d’un mécanisme d’ajout d’aléa (salage) depuis le 17 mai 2017, et non SHA-1, contrairement à ce qu’elle avait pu indiquer à la délégation de contrôle ».

Il reste un problème pour la rapporteure : « si 11 241 166 mots de passe de comptes sont bien hachés et salés, 2 414 254 mots de passe de comptes sont hachés uniquement, sans avoir été salés ». Cette faiblesse a été corrigée et désormais « il n’existe plus à ce jour aucun mot de passe haché en SHA-512 sans mécanisme d’ajout d’aléa (salage) ». EDF ne conteste donc pas le manquement de l’article 32, « mais demande à ne pas être sanctionnée dans la mesure où elle a dorénavant remédié au manquement ».

La « bonne volonté » ne suffit pas à effacer l’ardoise

Enfin la formation restreinte détaille sa réflexion sur les mesures correctrices et leur publicité. Sans surprise, EDF met en avant sa « bonne volonté et les efforts dont elle a fait preuve tout au long de la procédure » pour demander à la formation restreinte de « ne pas prononcer de sanction financière ou à tout le moins à réduire très significativement le montant de l’amende proposée par la rapporteure ». Pour la CNIL, « une amende administrative d’un montant de 600 000 euros apparaît justifiée ».

Pas d’injonction de mettre en conformité néanmoins, car « la société a pris des mesures de mise en conformité s’agissant de l’ensemble des manquements relevés par la rapporteure ». Enfin, EDF demandait « de ne pas la publier ou, à titre subsidiaire, de l’anonymiser immédiatement ou au plus tard dans un délai de huit jours » la décision de sanction.

La formation restreinte de la CNIL n’est pas sur la même longueur d’onde : « la publicité de la sanction se justifie au regard de la nature et du nombre de manquements commis, ainsi que du nombre de personnes concernées par lesdites violations, en particulier plus de 2 400 000 clients s’agissant du manquement à la sécurité des données ». La décision sera anonymisée après un délai de deux ans. 

Commentaires (43)


On ne le répètera jamais assez : MD5, SHA-1 (ou 256, 512, ce que vous voulez) ne sont pas conçus pour le stockage de mots de passe ! Même avec des kilos de sel. Ces algos sont trop rapides pour ça, ils ont été créés pour valider l’intégrité des données.



Pour les mots de passe, un bon Bcrypt (ou Argon2) sera infiniment mieux !


ou un rot13 :D


vince120

ou un rot13 :D


Double rot 13 y’a pas mieux.


Toutafé :)
(On peut même faire du PAKE – OPAQUE pour aller plus loin: le serveur ne voit jamais le mdp)




eliumnick a dit:


Comment saler les mots de passe sans avoir le mot de passe en clair ?



A part obliger le client à changer son mot de passe, je ne vois pas comment faire.




Bon, ce n’est pas l’idéal, mais on peut prendre l’ancien md5, le saler (et poivrer), et le faire tourner dans du bcrypt. S’il faut supporter les anciens algorithmes de toute façon… Cela donnerait du fil à retordre à un attaquant.


MayeulC

Toutafé :)
(On peut même faire du PAKE – OPAQUE pour aller plus loin: le serveur ne voit jamais le mdp)




eliumnick a dit:


Comment saler les mots de passe sans avoir le mot de passe en clair ?



A part obliger le client à changer son mot de passe, je ne vois pas comment faire.




Bon, ce n’est pas l’idéal, mais on peut prendre l’ancien md5, le saler (et poivrer), et le faire tourner dans du bcrypt. S’il faut supporter les anciens algorithmes de toute façon… Cela donnerait du fil à retordre à un attaquant.


C’est exactement ce qu’il faut faire pour ne pas avoir à ré-initialiser le mot de passe de tout le monde.



Nouveau client: scrypt()
Ancien client (detectable car il y a un flag qui l’indique): scrypt(md5())



où md5() correspond a ce qu’on a deja en base pour ce client.



A la connexion, il suffit de regarder ce fameux flag pour savoir comment hasher le mot de passe envoyé par le formulaire de connexion et le comparer a celui en base. C’est pas super compliqué à mettre en place, mais il faut stopper le site le temps de faire la mise a jour en base et dans le code.



EDIT: c’est la version simplifiée/haut niveau, pas un guide d’implémentation hein ;)



Il reste un problème pour la rapporteure : « si 11 241 166 mots de passe de comptes sont bien hachés et salés, 2 414 254 mots de passe de comptes sont hachés uniquement, sans avoir été salés ». Cette faiblesse a été corrigée et désormais « il n’existe plus à ce jour aucun mot de passe haché en SHA-512 sans mécanisme d’ajout d’aléa (salage) ».




Comment saler les mots de passe sans avoir le mot de passe en clair ?



A part obliger le client à changer son mot de passe, je ne vois pas comment faire.


A la prochaine authent tu aura son MDP en clair. Tu le vérifie avec le hash en base et si ça colle tu re-hash avec un sel cette fois et tu met à jour la BDD :).


Je proposerais un truc comme :
Le saler au prochain login.
Puis désactiver progressivement le reliquat des non salés quelques mois ou trimestres plus tard, en prévenant par mail avant. De toutes manières s’ils sont encore dans cet état, c’est qu’ils ne sont plus utilisés.



YonX a dit:


A la prochaine authent tu aura son MDP en clair. Tu le vérifie avec le hash en base et si ça colle tu re-hash avec un sel cette fois et tu met à jour la BDD :).




Oui mais pour ca il faut que le client se connecte. Si il ne se connecte pas, alors impossible de mettre à jour le mdp en base.



Et rien n’oblige les clients à se connecter sur le site d’EDF.


Passé un certain temps depuis la dernière connexion, et si le mot de passe n’est pas conforme aux règles de sécurité, tu le supprime via batch et tu demandes au client qui viendra a nouveau se connecter de créer un nouveau mot de passe via un mail de type “mot de passe oublié” qui met l’emphase sur la sécurité du compte etc …



vince120 a dit:


ou un rot13 :D




Nan trop évident, faut saler ! Un rot14 ou rot12 et là t’es au top :windu:
Faut juste faire attention de pas trop saler sinon tu finis avec un rot26 et là c’est pas bon :mdr:


Je trouve la CNIL particulièrement dure quant à la gestion des mots de passe. Les algo utilisés ont évolué avec le temps, et à défaut d’une connexion de l’utilisateur, EDF ne peut pas mettre à jour la manière dont est stockée le mot de passe (puisqu’EDF lui-même ne connait pas le mot de passe).



Invalider automatiquement les mots de passe, cela veut dire une procédure de réinitialisation obligatoire lors de la prochaine connexion. Ce qui peut être très délicat si l’abonné n’a pas saisi d’adresse e-mail ou que son e-mail est invalide.



La clôture d’un compte d’un client encore sous contrat ne me parait pas des plus appropriés non plus (et même sans contrat, la durée de conservation des factures EDF est de 5 ans, donc, il faudrait attendre 5 ans après la fin du contrat).



Enfin, la CNIL cite l’état de l’art. Le problème, c’est qu’il n’y a pas de références fortes. Juste un consensus sur ce qui devrait être (ou ne pas être). Il me parait délicat de juger, avec le regard d’aujourd’hui, les algorithmes utilisés il y a 5 ou 10 ans, tant les problèmes de sécurité n’étaient pas du tout considérés de la même manière et l’état de l’art différent.



L’exemple classique c’est la durée de vie des mots de passe. Pendant longtemps, il y a été dit et répété qu’il fallait changer les mots de passe de manière régulière. Cela faisait parti de l’état de l’art. Ce n’est plus le cas aujourd’hui, car certains ont enfin compris que si cela partait d’une bonne intention, cela favorisait aussi l’écriture de mot de passe sur un post-it au bas de l’écran !



Est-ce qu’il est déplorable qu’une entité, surtout comme EDF, ait utilisé des algorithmes considérés comme cryptographiquement non sûr ? Oui, bien sûr. Il serait honteux de prétendre le contraire. Mais la sécurisation avait pourtant déjà eu lieu lors des contrôles.



Ce que je déplore aussi (et la je ne parle pas pour EDF en particulier, mais de ce que je constate aujourd’hui dans ses sanctions en général), c’est que le responsable de traitement est toujours responsable, y compris lorsqu’il fait appel à un prestataire. Je suis en contact avec de nombreuses PME/TPE. Pour les dirigeants, un algorithme de hashage, c’est du chinois pour lui. Alors que MD5 soit cryptographiquement faible depuis 2004… on n’en parle même pas. S’il passe par un prestataire, c’est justement pour déléguer et bénéficier d’une compétence qu’il n’a pas en interne.



Dans ce genre de situation, la CNIL ferait mieux de s’attaquer directement au prestataire défaillant, plutôt que de condamner une société qui doit ensuite se retourner judiciairement vers son prestataire pour défaut de conseil, surtout quand la société a été pro-active et coopérative. C’est en théorie possible, puisque le prestataire pourrait être considéré comme co-responsable de traitement, dans la mesure où c’est elle qui décide des moyens à mettre en oeuvre dans le cadre d’un traitement.


Globalement d’accord, sauf peut être sur la partir sous traitant.
Mais ça lève une question très intéressante derrière.



Depuis le RGPD, le maître d’oeuvre est aussi responsable des traitements effectués par le sous-traitant.



Donc si les contrats sont bien fichus et que la société mère est condamnée pour un problème RGPD fait par son sous-traitant, elle doit pouvoir se retourner contre lui, et demander préjudice.



Après, reste à voir les contrats en question, j’ai pas connaissance d’un tel cas d’affaire judiciaire (vu que ça peut aussi se résoudre par des chèques sans passer par un procès).



Reste le point de la durée de tout ça (i.e des choses (mal) faites avant le RGPD qui se retrouvent analysées aujourd’hui. Mais là, pour moi, c’est compliqué. La société est responsable de réparer ce qui a été mal fait, quitte à reprendre un sous traitant pour ça.
Et sans assurance que ce soit possible : quid du compte edf dont le mail ne marche plus. Qui est responsable dans ce cas, est-ce que EDF peut “détruire” le compte si la personne ne s’y connecte plus et n’a pas de mail (ou de moyen de contact).



tractopelle a dit:



Derived a dit:




Pour le formuler différemment : est-ce que forcer la mise à jour du mot de passe au prochain login est suffisant pour que la cnil considère le problème comme résolu ?



J’aurais tendance à dire que non, car jusqu’au prochain login de tous les clients concernés, le problème persiste.


Tout d’abord, tu ne demandes pas obligatoirement de changer de mot de passe. Tu utilises une fonction qui existe dans certains annuaires, saler et hacher fort à la prochaine vérification de login concluante.
Tu peux mettre cela en place immédiatement par simple configuration sur l’annuaire (ldap) et sans aucun impact sur les clients (qui continuent à faire un bind).



Et plus tard, oui tu forces un renouvellement, ou tu notifies que les comptes vont expirer.



Entre les deux t’espères que la CNIL ne voudra pas faire un autre exemple avec ton entreprise.



Pour la plupart des entreprises, cette approche me semble plus prudente qu’immédiatement chambouler en urgence ses logins et annuaires, et risquer des problèmes de sécurité (indisponibilité qui coûte plus cher que l’amende de la CNIL, confidentialité altérée par un déploiement trop rapide qui à coup sûr amène la CNIL à enquêter).



« puisque les seules données rattachables à la plaignante étaient ses nom et prénom ».




Foutage de gueule ! Comment ils ont trouvés l’adresse de ses parents alors ?



fdorin a dit:


Invalider automatiquement les mots de passe, cela veut dire une procédure de réinitialisation obligatoire lors de la prochaine connexion. Ce qui peut être très délicat si l’abonné n’a pas saisi d’adresse e-mail ou que son e-mail est invalide.




EDF peut très bien envoyer un nouveau moyen d’accès par courrier comme cela se fait dans d’autres secteurs.




Dans ce genre de situation, la CNIL ferait mieux de s’attaquer directement au prestataire défaillant, plutôt que de condamner une société qui doit ensuite se retourner judiciairement vers son prestataire pour défaut de conseil, surtout quand la société a été pro-active et coopérative. C’est en théorie possible, puisque le prestataire pourrait être considéré comme co-responsable de traitement, dans la mesure où c’est elle qui décide des moyens à mettre en oeuvre dans le cadre d’un traitement.




Pour le coup, je pense que ça dépend surtout de la relation contractuelle entre EDF et son prestataire car ce périmètre est bien défini par le RGPD. Pour que le prestataire soit identifié comme co-responsable, ça signifie qu’ils ont spécifié la finalité du traitement ensemble et qu’ils ont chacun identifié leurs obligations et responsabilités respective. De même, si le prestataire est identifié comme co-responsable, cela signifierait que les personnes pourraient faire valoir leurs droits directement auprès de celui-ci. Or, si j’en crois la section données personnelles du site d’EDF, c’est bien EDF qui s’affiche comme responsable du traitement (même si c’est loin d’être explicitement écrit).



Si par contre le prestataire apporte une solution clé en main ou qu’il traite les données pour le compte d’EDF, il est considéré comme prestataire au sens du RGPD. Par contre, s’il traite les données personnelles pour son propre compte, alors il est considéré comme responsable de ce traitement en particulier.


Chez EDF, c’est visiblement le même service qui assure la protection des données personnelles et la maintenance des réacteurs nucléaires ?


Grr une excuse de plus pour faire augmenter la facture d’électricité…


J’étais relativement surpris quand j’ai reçu un formulaire autorisant EDF à communiquer mes données personnelles à ses concurrents, et sans réponse de ma part, c’est consenti par défaut.



Le formulaire sorti de l’espace : ils le font pour se saboter, mais en plus le sabotage est par défaut.



fdorin a dit:


et à défaut d’une connexion de l’utilisateur, EDF ne peut pas mettre à jour la manière dont est stockée le mot de passe (puisqu’EDF lui-même ne connait pas le mot de passe).




Tu forces le client à changer son mot de passe.




fdorin a dit:


Invalider automatiquement les mots de passe, cela veut dire une procédure de réinitialisation obligatoire lors de la prochaine connexion. Ce qui peut être très délicat si l’abonné n’a pas saisi d’adresse e-mail ou que son e-mail est invalide.




Ils peuvent envoyer un mot de passe à usage unique avec la prochaine facture. S’ils n’ont pas ton adresse courriel, ils ont l’adresse physique du point de distribution ainsi qu’une adresse de facturation.




fdorin a dit:


Dans ce genre de situation, la CNIL ferait mieux de s’attaquer directement au prestataire défaillant, plutôt que de condamner une société qui doit ensuite se retourner judiciairement vers son prestataire pour défaut de conseil, surtout quand la société a été pro-active et coopérative. C’est en théorie possible, puisque le prestataire pourrait être considéré comme co-responsable de traitement, dans la mesure où c’est elle qui décide des moyens à mettre en oeuvre dans le cadre d’un traitement.




La CNIL devrait attaquer toute la chaîne directement et pas que le responsable de traitement.
Sauf si certains dans la chaîne sont capable de prouver qu’ils ont effectués leurs devoir de conseil et que cela a été ignoré par le responsable de traitement.
Cas typique, je recommande toujours à mes clients d’utiliser des VLANs et filtrer le traffic entre les VLANs, ainsi que de faire du filtrage par mac et de l’authentification des machines… ceux sont en général eux qui refusent pour des raisons pratiques ou de coûts. Il ne faudrait pas que je tombe avec eux alors que j’ai effectué mon devoir de conseil.


J’ai reçu un SMS me disant que si je ne me reconnectais pas sous huitaine, mon compte utilisateur internet serait fermé car non utilisation récente.
Du coup, en me reconnectant, ils ont eu mon MdP “en clair” pour hasher et saler.



sephirostoy a dit:


J’étais relativement surpris quand j’ai reçu un formulaire autorisant EDF à communiquer mes données personnelles à ses concurrents, et sans réponse de ma part, c’est consenti par défaut.



Le formulaire sorti de l’espace : ils le font pour se saboter, mais en plus le sabotage est par défaut.




Ils y sont forcés, je crois. Concurrence et machin tout ça…




Zulgrib a dit:


Tu forces le client à changer son mot de passe.



Ils peuvent envoyer un mot de passe à usage unique avec la prochaine facture. S’ils n’ont pas ton adresse courriel, ils ont l’adresse physique du point de distribution ainsi qu’une adresse de facturation.




Les factures ne sont pas dématérialisées chez EDF ? Si la facture est dispo derrière un accès à mot de passe, ça va pas tellement marcher.



Faut quand même pas oublier qu’EDF doit aussi faire avec un impératif : celui de la simplicité maximale, s’agissant d’un service de première nécessité qui touche la quasi-totalité des français, y compris les plus “illectronistes”. Même (et surtout) ma grand-mère, qui a fêté ses 90 printemps cette année, doit pouvoir y retrouver ses petits, avec le moins possible de mauvaises surprises et de galères.


Pas forcément, ma mère les reçoit par papier, elle a indiqué ne pas avoir d’adresse courriel et pas de numéro de téléphone portable afin de ne pas recevoir une tonne de spam.



Donc ils sont capable, pas d’excuses pour EDF concernant les mots de passes utilisant le mauvais algorithme pour le stockage.



Zulgrib a dit:


La CNIL devrait attaquer toute la chaîne directement et pas que le responsable de traitement. Sauf si certains dans la chaîne sont capable de prouver qu’ils ont effectués leurs devoir de conseil et que cela a été ignoré par le responsable de traitement.




La CNIL attaque le responsable du traitement parce que c’est le RGPD qui l’a défini et c’est même une des pierres angulaires du texte (”Accountability”). Comme son nom l’indique, le responsable du traitement est … responsable de celui-ci. L’article 24 du RGPD l’indique clairement, il est tenu de mettre en oeuvre les moyens techniques et organisationnels pour s’assurer que le traitement est conforme. Qu’il ait recours à un prestataire défaillant ou ait ignoré ses alertes ou recommandations ne changera pas grand chose en dehors de la sévérité des sanctions.



La relation entre le responsable du traitement et le sous-traitant est contractuelle et définie par l’article 28.3 notamment. Si le sous traitant n’est pas responsable du point de vue du RGPD, il a cependant des obligations de mettre en oeuvre la sécurité nécessaire, de présenter des garanties et d’alerter et assister le responsable en cas de violation.



MayeulC a dit:


Bon, ce n’est pas l’idéal, mais on peut prendre l’ancien md5, le saler (et poivrer), et le faire tourner dans du bcrypt. S’il faut supporter les anciens algorithmes de toute façon… Cela donnerait du fil à retordre à un attaquant.




Ca permet déjà de plus conserver du MD5 tel quel, c’est déjà un énorme pasen avant.



Ca raconte quoi niveau entropie par rapport à du Bcrypt direct ? J’arrive pas à me rendre compte.


Tout va bien 600K€ de notre pognon (abonnés EDF) qui s’envole, au moment le plus propice …
Bien sûr certains me diront une cacahouète pour EDF :cartonrouge:


T’as qu’à prendre un contrat chez Engie ou Total


Tandhruil

T’as qu’à prendre un contrat chez Engie ou Total


C’est ridicule ta remarque j’imagine que c’est de l’humour ? 6OOK€ ne sont rien pour EDF mais pour l’ambulance dont j’ai besoin régulièrement c’est beaucoup. (Je parle d’argent publique)



A la finale, c’est nous qui payons . Et tant qu’a prendre un contrat ailleurs, je t’ai pas attendu : je reviens de chez mint energie avec 125% d’augmentation sur 2 ans …



Quand a supputer que tes interlocuteurs sont des cons ou tirer des conclusion sur les comptes d’EDF, je t’en laisse la responsabilité …



Au passage certains me diront une cacahouète … la preuve est faite .


Billye

C’est ridicule ta remarque j’imagine que c’est de l’humour ? 6OOK€ ne sont rien pour EDF mais pour l’ambulance dont j’ai besoin régulièrement c’est beaucoup. (Je parle d’argent publique)



A la finale, c’est nous qui payons . Et tant qu’a prendre un contrat ailleurs, je t’ai pas attendu : je reviens de chez mint energie avec 125% d’augmentation sur 2 ans …



Quand a supputer que tes interlocuteurs sont des cons ou tirer des conclusion sur les comptes d’EDF, je t’en laisse la responsabilité …



Au passage certains me diront une cacahouète … la preuve est faite .


Ben non la remarque n’est pas ridicule, le marché de l’électricité est ouvert, tu n’es plus un abonné mais un client (les seuls services publics de l’électricité sont RTE et ENEDIS).
Donc non, ce n’est pas avec ton argent de contribuable mais avec ton argent de client que l’amende va être payée.



Concernant l’ARENH, même en cette période de crise EDF est contraint de vendre à prix coutant (42€ le MWh) 23% de son électricité nucléaire aux concurrents (qui peuvent même la revendre sur le marché européen) et je peux t’assurer que ça coute bien plus à EDF que 600 k€ (environ 8 Milliard selon EDF, même si en vrai ce sera moins on est loin des 600 k€).



Sinon je n’ai fait aucune supputation sur ton intelligence


Hmmmm… L’Etat détient 70% du capital (cf. article 111-67 du code de l’énergie), non ? Donc s’il manque 600 k€ à la fin de l’année, y aura qu’à piocher dans la cagnotte de la CNIL. Je suis p’t’êt’ un peu mauvaise langue…


A mon avis EDF perd plus de fric avec le bouclier tarifaire (protection du pouvoir d’achat des ménages) et l’ARENH (indispensable à la “concurrence”) qu’avec l’amende de la CNIL.



A un moment il faut arrêter de tirer sur l’ambulance.


Si tu reliymon message tu t’apercevra que je suis client d.edf et que c’est des mêmes dont je parle.😐


Ben je relis et tu ne semble pas te considérer comme un client.




Billye a dit:


Tout va bien 600K€ de notre pognon (abonnés EDF) qui s’envole, (…)

Billye a dit:


A la finale, c’est nous qui payons .(…)




A moins que tu considères que “nous” n’implique que les clients EDF et pas les français.


Tandhruil

Ben je relis et tu ne semble pas te considérer comme un client.




Billye a dit:


Tout va bien 600K€ de notre pognon (abonnés EDF) qui s’envole, (…)

Billye a dit:


A la finale, c’est nous qui payons .(…)




A moins que tu considères que “nous” n’implique que les clients EDF et pas les français.


Je te conseille d’apprendre le français.


Billye

Je te conseille d’apprendre le français.


A un moment il faut arrêter l’ambiguïté.



Soit tu n’es pas satisfait de la manière dont EDF, ton fournisseur d’électricité, gère son budget puisqu’il a une amende de 600 k€ auquel cas ma première remarque t’invitant à changer de fournisseur est parfaitement justifiée.



Soit tu n’es pas satisfait de l’entreprise nationale EDF (exploitant de la majorité des sites de production d’électricité pour la France). Mais pour le coup cette amende n’est pas en lien avec son activité (ils n’ont pas besoin de prospecter des clients) et donc n’a pas d’impact sur tes charges de contribuable (ou en tout cas un impact négligeable comparé à l’ARENH).



sephirostoy a dit:


J’étais relativement surpris quand j’ai reçu un formulaire autorisant EDF à communiquer mes données personnelles à ses concurrents, et sans réponse de ma part, c’est consenti par défaut.




Cela leur a été imposé par le législateur, dans le cadre de l’“ouverture à la concurrence” (lire : la doxa des économistes néo-féodaux pour détruire le service public et recréer les fermages de l’Ancien régime).



Cependant, les personnes peuvent s’opposer à cette communication.



sephirostoy a dit:


J’étais relativement surpris quand j’ai reçu un formulaire autorisant EDF à communiquer mes données personnelles à ses concurrents, et sans réponse de ma part, c’est consenti par défaut.
Le formulaire sorti de l’espace : ils le font pour se saboter, mais en plus le sabotage est par défaut.




Ca c’est autre chose : c’est la règlementation (droit de la concurrence) qui oblige EDF à communiquer ces données à ses concurrents.



Si ca ne tenait qu’EDF, évidement qu’ils ne l’auraient pas fait, ils ne sont pas maso au point de filer leur fichier client de leur plein gré.



SHA-512 complété d’un mécanisme d’ajout d’aléa (salage) depuis le 17 mai 2017




Ca reste de la daube, SHA n’est pas fait pour hacher des mots de passe. Donc sanction justifiée, faudrait songer à faire de la veille technique sur ce sujet chez EDF.




iFrancois a dit:


Ca permet déjà de plus conserver du MD5 tel quel, c’est déjà un énorme pasen avant.



Ca raconte quoi niveau entropie par rapport à du Bcrypt direct ? J’arrive pas à me rendre compte.




Niveau entropie c’est moins top qu’un mdp directement haché par un algo à l’état de l’art si l’attaquant est au courant que derrière il y a un hash MD5 : Ca lui permet de diminuer drastiquement le scope de possibilités (forcément 32 caractères, que des minuscules et des chiffres). Pour le “montant” précis d’entropie je ne sais pas. Mais comme dit par d’autres (dont toi) ça reste forcément mieux que juste le hash MD5 au vu des vulnérabilités de ce dernier.



Par contre ça a tendance à être vu comme un plan foireux de mixer des algos de hachage à moins d’exactement savoir ce que tu fais car ça peut avoir des effets de bord. Par exemple avec bcrypt il y a cette possibilité : https://blog.ircmaxell.com/2015/03/security-issue-combining-bcrypt-with.html#The-Major-Problem



En résumé pas sûr que faire ce mixage soit suffisant aux yeux de la CNIL ou judicieux. Comme d’autres l’ont dit mieux vaut supprimer le hash et envoyer un email ou courrier à l’utilisateur pour qu’il réinitialise et qu’on puisse avoir un hash à l’état de l’art.


Petit rappel sur SHA inadapté au hachage de mdp (pas eu le temps de mettre le lien avant de ne plus pouvoir éditer mon précédent message): https://www.troyhunt.com/our-password-hashing-has-no-clothes/



Bonnes pratiques : https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html



BlueSquirrel a dit:


Niveau entropie c’est moins top qu’un mdp directement haché par un algo à l’état de l’art si l’attaquant est au courant que derrière il y a un hash MD5 : Ca lui permet de diminuer drastiquement le scope de possibilités (forcément 32 caractères, que des minuscules et des chiffres). Pour le “montant” précis d’entropie je ne sais pas.




En rajoutant du sel (ou du poivre), ça devrait résoudre ces problèmes, non ?


Le sel n’a pas vocation à être secret, donc il n’ajouterait aucune complexité. Son job est d’éviter les rainbow tables. D’ailleurs les algos à l’état de l’art (bcrypt, argon2id…) ont tendance à gérer le sel automatiquement, donc il est déjà présent.



Le poivre ça pourrait aider par contre en effet, vu qu’il est secret. En supposant qu’il fuiterait pas avec le reste en cas d’éventuel piratage évidemment.


vache je suis content que edf ne soit pas mon opérateur local.
le mien (és) se contente de faire des erreurs en bourse à 60 millions d’€


Fermer