Connexion
Abonnez-vous

Discord sanctionnée de 800 000 euros pour cinq manquements au RGPD, le détail de la décision de la CNIL

Discord peut jouer les 5, 13, 25, 32 et 35 au loto, le 21 en complémentaire

Discord sanctionnée de 800 000 euros pour cinq manquements au RGPD, le détail de la décision de la CNIL

Le 17 novembre 2022 à 17h13

La CNIL reproche à Discord de ne pas avoir respecté des obligations prévues par le règlement général sur la protection des données. Cinq manquements sont listés, notamment sur les « durées de conservation et de sécurité des données personnelles ». Deux autres manquements ont été relevés, mais finalement pas retenus après des explications de la société.

La CNIL a publié un communiqué, mais aussi sa délibération bien plus complète, qui permet de mieux cerner les tenants et aboutissants de son enquête. La Commission rappelle que Discord est un service « populaire parmi la communauté des joueurs de jeux vidéo » et qu’il est « devenu un réseau social complet avec un large éventail de façons d’interagir ». La Commission ajoute que cette application « a connu une forte popularité pendant le confinement lié à la pandémie de Covid-19, en particulier auprès d’un jeune public ».

C’était notamment le cas en France lors des confinements avec la mise en place de la « continuité pédagogique ». Enseignants, parents et élèves n’étaient pas prêts, quoi qu’en disait le ministre de l’époque et, dans l’urgence, des élèves ont apporté leur aide aux professeurs en mettant en place des classes virtuelles sur les outils qu’ils connaissaient bien, notamment Discord. Les questions autour du RGPD étaient alors passées au second plan. 

Quoi qu’il en soit, la CNIL a décidé d’effectuer un contrôle en ligne du site et de l’application mobile de Discord le 17 novembre 2020. Le 29 décembre de la même année, une mission de contrôle sur pièces était lancée, avec l’envoi d’un questionnaire à la société. Les 5 et 12 février 2021, Discord a renvoyé « des éléments de réponse à la CNIL ». Le ping-pong a continué avec une demande d’éléments complémentaires le 8 mars, puis des réponses les 23 et 24 mars.

Presque un an plus tard, le 25 février 2022, la rapporteure de la CNIL « a fait notifier à la société un rapport détaillant les manquements au RGPD qu’elle estimait constitués en l’espèce ». Le rapport proposait de prononcer une amende administrative et de la rendre publique, « mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication ».

Manquement sur la protection des données par défaut

Commençons par un manquement à l’article 25 du RGPD, qui dispose que « le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ». 

Ce n’était pas le cas pour la CNIL : 

« L’utilisateur doit effectuer plusieurs actions pour quitter l’application Discord sous Windows et Linux. L’application est paramétrée afin de rester active même lorsque l’utilisateur ferme la fenêtre principale (en sélectionnant l’icône " X " situé en haut à droite), ce qui permet de continuer à communiquer vocalement tout en n’occupant plus de place sur le bureau de l’ordinateur.

Seul un petit indicateur permet de comprendre que l’application est active. Cet indicateur était présent dans la barre des tâches, qui se situe en bas à droite de l’écran sous Microsoft Windows, à côté des date et heure ».

Problème pour la rapporteure, ce paramétrage « conduisait à ce que des données à caractère personnel de l’utilisateur puissent être communiquées à des tiers par le biais du salon vocal, alors même que celui-ci pensait, en l’absence d’information spécifique suffisamment visible et claire, que leur collecte avait cessé lorsqu’il avait choisi de fermer la fenêtre de l’application ».

Selon Discord, pas de doute : « lorsqu’un utilisateur connecté à un salon vocal clique sur l’icône " X " située en haut à droite, il ne pense aucunement quitter l’application en question et a bien conscience qu’il est toujours connecté audit salon ». La plateforme ajoute que l’utilisateur « est informé à plusieurs reprises que, pour quitter un salon vocal, il doit cliquer sur le bouton "déconnexion" ». La société se justifie aussi en expliquant qu’il est « primordial de prendre en compte le fonctionnement d’applications similaires ».

Des explications qui n’ont pas convaincu la CNIL. Sa formation restreinte reconnait qu’il existe en effet des applications de communication qui ne sont que réduites en arrière-plan après un clic sur la croix de fermeture. Mais dans ce cas, soit les applications « informent avec une fenêtre surgissante l’utilisateur lors du premier clic sur la croix que l’application va passer en arrière-plan, mais continuer de fonctionner », soit « le comportement de réduction en arrière-plan n’est pas activé et c’est à l’utilisateur de le paramétrer manuellement ». Ce qui n’était pas le cas de Discord.

La CNIL considère donc que la société n’a pas respecté les obligations de l’article 25 du RGPD sur la protection des données par défaut. Néanmoins, elle note que Discord a désormais « mis en place une fenêtre "pop-up" permettant, lorsque la fenêtre a été fermée pour la première fois, d’alerter les personnes connectées à un salon vocal de ce que l’application Discord est toujours en cours de fonctionnement et que ces paramètres peuvent directement être modifiés par l’utilisateur ».

Manquement sur la conservation des données

Un autre manquement concerne l’article 5 et « l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement ». Problème, la société n’avait défini aucune politique sur ce point et ne procédait à « aucun effacement ou archivage régulier des données à l’issue d’une période définie ».

Ainsi, la base de données comprenait « 2 474 000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans, sans que la société ait fourni d’explication ou de justification particulière quant à la conservation de ces comptes inactifs ». Dans sa délibération, la CNIL rappelle qu’elle recommande « que les comptes soient considérés comme inactifs au bout de deux ans et soient supprimés à l’issue de ce délai ». 

Malgré des explications de Discord, la CNIL considère « que la société a méconnu ses obligations ». Elle prend néanmoins acte que la société « dispose désormais d’une politique de durée de conservation des données à caractère personnel traitées écrite, laquelle prévoit notamment la suppression des comptes après deux ans d’inactivité de l’utilisateur ». Discord est désormais en conformité sur l’article 5.

Manquement sur l’obligation d’information et d’assurer la sécurité

L’article 13 posait aussi problème : « Au moment du contrôle en ligne effectué, l’information était lacunaire concernant les durées de conservation : elle ne comportait ni durées précises, ni critères permettant de déterminer celles-ci ». La société s’est néanmoins mise en conformité au cours de la procédure.

En se basant sur l’article 32 du RGPD, la rapporteure explique que, lors de la création d’un compte, « un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté », ce qui n’est pas suffisant pour permettre « d’assurer la sécurité des données à caractère personnel traitées par la société et d’empêcher que des tiers non autorisés aient accès à ces données ». La CNIL rappelle au passage qu’elle recommande « au minimum huit caractères, contenant au moins trois des quatre catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux) ».

Pour sa défense, Discord affirme avoir mis en place des mesures « permettant de garantir un niveau élevé de sécurité », notamment pour empêcher les attaques par force brute : « limitation des tentatives de connexion à une par seconde ; vérification par courriel ou SMS pour valider l’identifiant lorsque la société reçoit une demande de connexion provenant d’une adresse IP située en dehors de la zone de l’adresse IP de connexion précédente ; rejet des mots de passe couramment utilisés et compromis et implémentation d’un "captcha" pour les connexions à partir de nouvelles plages d’adresses IP ».

Peu importe pour la CNIL, la « longueur et la complexité d’un mot de passe demeurent des critères élémentaires permettant d’apprécier la force de celui-ci ». Pendant la procédure des changements ont été apportés. Désormais l’application exige « des utilisateurs français qu’ils définissent des mots de passe d’une longueur minimale de huit caractères, dont au moins trois de ces caractères sont des lettres minuscules, des lettres majuscules, des chiffres ou des caractères spéciaux ».

Bref, c’est un manquement à l’article 32 du RGPD selon la CNIL, mais avec les modifications apportées, Discord s’est mise en conformité.

Manquement à l’obligation d’effectuer une analyse d’impact 

Le dernier manquement concerne l’article 35 du RGPD qui dispose que « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel ». 

De son côté, Discord a estimé « qu’il n’était pas nécessaire de réaliser une analyse d’impact relative à la protection des données » étant donné qu’elle « ne traite que des données très limitées ». La société est renvoyée dans ses cordes par la formation restreinte de la CNIL, pour qui l'entreprise « met en œuvre un traitement de données à caractère personnel à grande échelle ».

De plus, l’application « a également vocation à être utilisée par des enfants âgés de quinze ans, ce dont la société Discord INC. a pleinement conscience ». Or, « les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ».

Bref, l’entreprise aurait dû procéder à une analyse d’impact « au regard du volume de données traitées par la société et de l’utilisation de ses services par des enfants ». Durant la procédure, deux analyses d’impact  ont été lancées, « qui ont conclu que le traitement n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes ».

Pour la CNIL, la réalisation préalable de ces études « était impérative pour s’en assurer ». Discord a donc « méconnu les obligations de l’article 35 du RGPD ».

Pas de manquement sur l’obligation de transparence…

Lors de son contrôle en ligne, la CNIL avait constaté que le lien « Confidentialité » situé dans le pied de page, ouvrait une page « libellée en ces termes " DISCORD PRIVACY POLICY ". Si la " privacy policy " était aisément accessible à partir du formulaire d’inscription, elle était uniquement disponible en langue anglaise, dans sa version datée du 23 juin 2020 au moment du contrôle en ligne ».

Pour sa défense, « la société précise que la politique de confidentialité était déjà communiquée aux utilisateurs en français au moment du contrôle de la CNIL. Toutefois, un problème technique s’étant produit le 16 novembre 2020 a temporairement empêché la traduction française de la politique de confidentialité d’apparaître sur le site web lors du contrôle ». 

Le problème technique aurait rapidement été identifié et corrigé selon Discord, avec un retour en ligne de la version française de la politique de confidentialité le 3 décembre 2020. Conformément à la demande de la rapporteure de la CNIL, « la formation restreinte prend acte des éléments apportés par la société et estime que ce manquement n’est pas constitué ».

… ni sur le respect du droit d’opposition

Enfin, le dernier point concernait l’article 21 du RGPD qui dispose que « la personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant ».

La rapporteure de la CNIL indique que, parmi les traitements de données personnelles, on retrouve l’élément « Utiliser les données pour améliorer Discord ". Le but est, pour Discord, d’utiliser les informations pour « améliorer le contenu et les fonctionnalités des services, mieux comprendre [ses] utilisateurs et améliorer le service ». Les données récupérées comprennent l’IP, l’identifiant de l’utilisateur, le système d’exploitation, les serveurs de discussion rejoints, les contacts/amis, les jeux joués, l’abonnement éventuel à la version premium, les achats, les fonctionnalités utilisées, les activités dans la plateforme, etc.

L’utilisateur peut s’opposer à l’utilisation de ses données dans ce cadre : il doit alors se rendre dans les paramètres et désactiver cette fonctionnalité. « Dans ce cas, la société supprime l’association de l’alias à l’identifiant de l’utilisateur, ce qui l’empêche alors, selon elle, de pouvoir associer les données collectées avec l’alias pseudonyme à l’identifiant de l’utilisateur ». Pour la rapporteure, il ressort que « des informations transmises par la société que des données à caractère personnel de l’intéressé continuent d’être traitées, alors même que l’utilisateur a manifesté son souhait de s’y opposer ».

« La simple rupture du lien entre, d’une part, les données d’utilisation traitées et conservées avec l’alias pseudonyme et, d’autre part, l’identifiant de l’utilisateur associé à son compte n’apparaît pas suffisante pour considérer que le droit d’opposition de l’utilisateur au traitement de ses données pour cette finalité serait dûment pris en compte et effectif », ajoute-t-elle. 

Discord n’a pas la même vision, comme l’explique la CNIL : « la société considère que la possibilité de désactiver la fonction "Utiliser les données pour améliorer Discord" avec un bouton slider ne constitue pas l’exercice du droit d’opposition au sens de l’article 21, paragraphe 1, du RGPD ». 

Sur la question du droit d’opposition, Discord ajoute que « les utilisateurs exercent leur demande auprès de la société Discord ou de son représentant, en justifiant des raisons tenant à leur situation particulière pour permettre à la société d’apprécier si cette condition est remplie. Ce droit n’est pas exercé via le bouton slider ».

Au vue de ces précisions, la rapporteuse propose finalement « de ne pas retenir ce manquement ». Elle a été suivie par la formation restreinte : « l’existence du bouton slider permettant de désactiver la fonction "Utiliser les données pour améliorer Discord" est un paramétrage qui n’a pas pour objet de constituer l’exercice du droit d’opposition au sens de l’article 21 du RGPD et que la société Discord INC. offre une procédure d’opposition conforme à cet article ».

Une sanction publique de 800 000 euros

Maintenant que les bases sont posées, passons à la conclusion. Sans grande surprise, Discord demandait de ne pas prononcer de sanction à son encontre puisqu’elle contestait l’ensemble des manquements qui lui étaient reprochés. La CNIL en a décidé autrement.

Sur le montant de l’amende maintenant, « la société considère que sa bonne foi et sa volonté de coopérer n’ont pas été effectivement prises en compte dans la proposition de la rapporteure ». De son côté, la formation restreinte « souligne que les manquements commis par la société portent sur des obligations touchant aux principes fondamentaux de la protection des données à caractère personnel et que cinq manquements sont constitués ». De plus, les traitements mis en œuvre « concernent un nombre très important de personnes situées en France […] dont des mineurs ».

Au final, des manquements aux articles 5, 13, 25, 32 et 35 du RGPD sont retenus. La CNIL prend acte des « efforts réalisés par la société pour se mettre en conformité tout au long de la procédure, ainsi que le fait que son modèle d’affaires n’est pas fondé sur l’exploitation des données à caractère personnel ».

Ainsi, « une amende administrative d’un montant de 800 000 euros apparaît justifiée ». De plus, rendre publique cette décision « se justifie au regard du nombre de personnes concernées, du nombre de manquements commis et de leur gravité ».

Notez enfin que cette décision peut faire l’objet d’un recours devant le Conseil d’État, dans un délai de quatre mois à compter de sa notification.

Le 17 novembre 2022 à 17h13

Commentaires (31)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Enseignants, parents et élèves n’étaient pas prêts, […] dans l’urgence, des élèves ont apporté leur aide aux professeurs en mettant en place des classes virtuelles sur les outils qu’ils connaissaient bien, notamment Discord




La plupart des enseignants étaient prêts, mais c’était les outils de l’EN qui étaient défaillants.
Par ailleurs, les enseignants avaient interdiction formelle d’ouvrir des salons Discord (pour cause, effectivement de RGPD), c’est donc les élèves qui les ont ouverts, en “invitant” leurs enseignants.

votre avatar

Beaucoup n’étaient aussi absolument pas prêts. Apres oui les outils étaient défaillants (voire inexistants). Après ceux qui savaient faire ont pu se débrouiller, les autres se sont fait aider. Et de mémoire (à vérifier donc…) l’interdiction Discord and co est arrivé plus tard, après la mise en place de classes sur Discord and co

votre avatar

Il manque quand même quelque chose d’important : le transfert des données personnelles en dehors de l’UE. Discord est une société américaine, qu’en est-il des conséquences de l’arrêt Schrems II de la cour Européenne de justice ?

votre avatar

gathor a dit:


Beaucoup n’étaient aussi absolument pas prêts.




Il faudrait distinguer maternelle-primaire (où il était difficile de joindre les élèves), collèges et lycées.
Côté lycée, où beaucoup de choses se faisaient déjà sur ENT & Co, ça s’est fait plus facilement, ou moins difficilement suivant le point de vue…

votre avatar

la CNIL rappelle qu’elle recommande « que les comptes soient considérés comme inactifs au bout de deux ans et soient supprimés à l’issue de ce délai ». 




Donc ils sont supprimés dès qu’ils passent en inactif ?




« un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté », ce qui n’est pas suffisant




J’espère que la CNIL ne va pas essayer de créer un compte sur Aquarelle.com…

votre avatar

Sinon connaît-on le chiffre d’affaire de Discord ? Histoire de juger si la CNIL a levé le pied lorsqu’elle a défini le montant.

votre avatar

Pas trouvé des masses de chiffres vu que Discord n’est pas en bourse. Mais j’ai vu des articles citant à plusieurs reprises \(130 millions en 2020 depuis le démarrage de Nitro (qui est leur source de revenus principale apparemment), avec \)45 millions l’année précédente. Mais comme il ne s’agit que du CA, difficile de savoir le bénéfice derrière vu que Discord ne publie pas de rapports financiers.



Autre point d’attention, les chiffres de 2020 c’est potentiellement faussé car Discord a connu un gros boom avec les confinements.

votre avatar

La CNIL oui, nous non.
C’est caviardé dans la délib : la formation restreinte « relève à cet égard que la société DISCORD INC. a réalisé un chiffre d’affaires d’environ […] dollars en 2019 et de plus de […] dollars en 2020 »

votre avatar

« que les comptes soient considérés comme inactifs au bout de deux ans et soient supprimés à l’issue de ce délai ». 



La vache, c’est chaud. Sur ce coup, je ne suis pas d’accord avec la CNIL.

votre avatar

Ce sont des recommandations génériques émises par la CNIL dans le cadre du principe de limitation de la durée de conservation des données exigé par l’article 5 du RGPD. Ne pas définir de durée de conservation est un manquement à celui-ci de la part du responsable du traitement.



En pratique, le RGPD ne définit pas de durée de conservation type : c’est au responsable du traitement de l’établir en fonction de la finalité de son traitement (“de combien de temps ai-je besoin des données pour la finalité de mon traitement ?”). A l’exception des cas où la durée de conservation est spécifiquement inscrite dans la loi, le responsable du traitement peut se faire aider de son DPO et de la CNIL pour établir une durée de conservation cohérente au principe de limitation imposé par le RGPD.



Cf Guide pratique : les durées de conservation

votre avatar

Oui, mais pour moi le compte est à séparé des données. Même si le compte en lui même est une donnée. Entre le compte et ce que tu peux écrire, je fais une distinction.



Tout simplement ton identifiant, vu que certains service ont un identifiant unique (ce qui est trés con).



Sinon, par exemple, le cas que je suis en train de vivre avec une boutique en ligne (échange de mail depuis une semaine.



J’ai acheté des addons de jeu il y a quelques années sur cette boutiques, puis plus rien. Là, je veux commandé à nouveau, mais je m’aperçois que je ne peux plus me connecter.



J’ai fais un mail au support en leur indiquant mon login.



Il me dise qu’il ne trouve rien dans leur système.



Je leur confirme que j’ai bien commandé chez eux, et je leur joins les mails de confirmation de commande et de paiement (vive les backups).



Là, il me dise que le système a évolué, et que tout l’historique est perdu et qu’il faut que je recrée un compte.



Je leur pose la question d’accès au mise à jour, et là on me dit que je pourrais toujours y avoir accès via le nouveau compte. Il me reste à tester.



Mais si j’élargis, qu’en est il des services d’achat de VOD. Si tu n’utilises plus ton compte, tu perds tes achat et tes films ou séries ?

votre avatar

LeJuge a dit:


Il manque quand même quelque chose d’important : le transfert des données personnelles en dehors de l’UE. Discord est une société américaine, qu’en est-il des conséquences de l’arrêt Schrems II de la cour Européenne de justice ?




Société américaine avec des partenaires chinois, dont par exemple Tencent.



Mais Discord peut légalement filer toutes les données des utilisateurs à tous les data brokers du monde, afin de permettre à ces derniers de « mieux les connaître », du moment que les susdits utilisateurs donnent leur consentement. Et ils le donnent.



Ce qui peut poser problème, c’est si un utilisateur diffuse sur Discord des données qui concernent un tiers qui n’a pas accepté les conditions d’utilisation (genre une photo de groupe), mais là c’est l’utilisateur qui commet un délit, pas Discord.

votre avatar

Jarodd a dit:


Donc ils sont supprimés dès qu’ils passent en inactif ?




Non, quand ils sont inactifs depuis deux ans… (et qu’ils sont donc considérés comme définitivement inactifs ou abandonnés).




Habu a dit:


La vache, c’est chaud. Sur ce coup, je ne suis pas d’accord avec la CNIL.




Pourquoi ? Si tu ne t’es pas connecté pendant 2 ans, il y a beaucoup de choses qui auront changé depuis ta dernière connexion. Tu peux te permettre de recréer un compte neuf.

votre avatar

Donc le compte est supprimé 4 ans après la dernière connexion ?

votre avatar

Non, deux ans.

votre avatar

Un jour la CNIL découvrira les banques, parce que si les mots de passe de 6 chiffres et lettres c’est pas assez (ce qui se défend), on va pouvoir préparer du pop corn pour les mots de passe à 8 chiffres…

votre avatar

Il n’y avait pas une histoire avec le login ? (suite de chiffre plus ou moins aléatoire participant également à la sécurisation, contrairement à une adresse mail ou un pseudo)

votre avatar

Effectivement. L’identifiant des banques, sans être secret, n’est pas public. Cela change beaucoup de chose.

votre avatar

Il y a aussi le “clavier visuel” qui agit comme un captcha. Pour les banques, il n’y a qu’une page unique de login, pour tout pb ça part en “contacter votre conseiller” ou l’envoi d’un courrier postal avec un nouveau login.



Pour un site web, la page principale est souvent assez sécurisée, mais il reste souvent des failles “nécessaires” : Récemment, c’est Apple, je crois qui avait dû laisser sa page “j’ai perdu mon iphone” sans 2FA.
Et oui impossible de valider un SMS ou une notif quand on a perdu son téléphone ! Conclusion, la sécurité repose uniquement sur le mot de passe qui se doit d’être plus solide. (et le 2FA est comme souvent totalement inutile !)

votre avatar

Et le compte est bloqué au bout de X erreurs. (en tous cas dans toutes les banques que j’ai faites)

votre avatar

Oui, mais c’était aussi le cas de Discord a priori. Donc je ne l’ai pas souligné. Mais tu as raison de le préciser ;)

votre avatar

Pour l’identifiant, à mon ancienne baque c’est passé de mon numéro de compte (donc pas secret du tout) à mon numéro de compte avec un double chiffre devant (le même pour tous les clients, donc pas très secret non plus)…
Dans ma nouvelle banque c’est un numéro aléatoire.



Sinon, le 2FA est obligatoire ainsi que l’utilisation du mot de passe du compte (soit en passant par l’application, soit avec code SMS + mot de passe).

votre avatar

au minimum huit caractères, contenant au moins trois des quatre catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux)




C’est quand même très con cette règle, ça fait baisser l’entropie : Pas besoin de brut forcer tous les mots de passes constitués d’une seule ou de deux catégories !
C’est contraignant, donc je pense que les gens s’arrêtent inconsciemment à 8 cars en mode “c’est déjà assez compliqué à retenir”.



En plus imposer un caractère spécial dans un mot de passe, pousse nous autres humains à trouver des “astuces” de mémorisation :




  • le “l33t p@$\(w0rd" par exemple, du coup le caractère spécial peut assez simplement être intégré dans un dictionnaire d'attaque : un "s"d'un mot normal pouvant être 3 cars (s, S ou \)) un “e” 4cars (e, E, €, 3), un “i” 5 cars (i, I, l, !, 1)…

  • un mot normal suivi d’un nombre, ou de ponctuation : “Password!”, “Password01”… là aussi c’est relativement simple de construire un dictionnaire de toutes les possibilités



Si j’étais hacker je créerais un dictionnaire des mots de passes d’exactement 8 caractères dérivés d’un mot. À mon avis ça fait pas tant de mots de passes, et ça doit bien casser 23 des logins d’une bdd :)



Si la règle était plus souple : au moins 16 caractères comme tu veux, ou 12 avec un chiffre ou car spécial… ça pousserait les gens à utiliser des mots de passes plus longs et augmenterait largement la diversité générale des mots de passe !

votre avatar

fofo9012 a dit:


Il y a aussi le “clavier visuel” qui agit comme un captcha.




Non, le clavier visuel n’agit pas comme un captcha, car il n’est pas là pour empêcher les bots. Il évite la divulgation du code d’accès via les keylogger, en obligeant les gens à saisir via un clavier virtuel leur code plutôt que sur le clavier physique.



Automatiser la saisie d’un code sur leur clavier virtuel, c’est très facile, et des projets comme Woob le font très bien et quelques lignes et sans IA !

votre avatar

fofo9012 a dit:



Pour un site web, la page principale est souvent assez sécurisée, mais il reste souvent des failles “nécessaires” : Récemment, c’est Apple, je crois qui avait dû laisser sa page “j’ai perdu mon iphone” sans 2FA. Et oui impossible de valider un SMS ou une notif quand on a perdu son téléphone ! Conclusion, la sécurité repose uniquement sur le mot de passe qui se doit d’être plus solide. (et le 2FA est comme souvent totalement inutile !)




Testé à l’instant, sans la 2FA, seule la section “Devices” est accessible.




Restricted Access
Without a second authentication factor, access to your account settings is limited to the Devices section. If you want to manage other settings you need to authenticate.




Donc, non, ça ne casse pas la sécurité apportée par la 2FA.



Sinon, sur l’article. Je trouve assez étonnant pour la CNIL de condamner Discord publiquement alors qu’il s’agit pour la très grosse majorité des cas où savoir si la limite a été franchie est très floue et où Discord est resté coopératif et s’est aligné sur les volontés de la CNIL.



L’exemple du password est assez aberrant. Le fait de faire du rate limiting, de checker si le password est pas dans une liste de password compromis, faire de la 2FA, tout ça n’a aucun poids. Mais rajouter deux pauvres caractères, une majuscule et un caractère spécial sans avoir les autres systèmes de sécurité et on serait super clean. :keskidit:

votre avatar

Le 1er point est quand même un peu tiré par les cheveux, un manquement à la protection des données par défaut car quand on est connecté sur un salon vocal, cliquer sur la croix réduit l’application, mais ne déconnecte pas du salon …
C’est quand même assez marqué avec l’alerte sonore quand on se connecte ou déconnecte d’un salon.



Perso, je suis plus dérangé par la quasi impossibilité de désactiver l’envoie de données vers discord sur toutes nos actions, le slider qui rend juste “anonyme” les infos mais envois tout quand même, c’est un peu limite.

votre avatar

J’ai des amis à qui il est arrivé de rester connectés sans le savoir sur un chan qu’on a entre potes. Il suffit d’une fausse manip, d’une inattention, ou alors tu as retiré le casque en même temps, et hop, tu restes dessus.

votre avatar

Peu importe pour la CNIL, la « longueur et la complexité d’un mot de passe demeurent des critères élémentaires permettant d’apprécier la force de celui-ci ». Pendant la procédure des changements ont été apportés. Désormais l’application exige « des utilisateurs français qu’ils définissent des mots de passe d’une longueur minimale de huit caractères, dont au moins trois de ces caractères sont des lettres minuscules, des lettres majuscules, des chiffres ou des caractères spéciaux ».




Vivement que ma banque m’autorise à mettre un code de 30 caractères aléatoires :D

votre avatar

Ma banque prend sans problème les mots de passe auto-générés par Edge ou Keepass. D’ailleurs, je ne connais aucun de mes mots de passe (sauf le maître évidemment).

votre avatar

Au vu de ce que la CNIL a exigé pour Discord, je me suis demandé si NextInpact avait aussi fait le même travail.




  • Je n’ai pas trouvé de texte sur le site au sujet de la conservation des données

  • Mon compte a été connecté la dernière fois en 2018 mais pas désactivé depuis

  • Pour l’inscription la restriction du mot de passe est de seulement 6 caractères minimum



Y a t il un risque d’amende pour NextInpact si la CNIL vous audite ?

votre avatar

(quote:2105684:G33K IN5ID3)
Y a t il un risque d’amende pour NextInpact si la CNIL vous audite ?




Potentiellement. A cela je note aussi que le formulaire d’inscription ne présente aucune notice d’information sur la collecte des données personnelles, et la page “Vie privée” (noyée au fond de la charte déontologique et non mentionnée par le formulaire d’inscription - ce qui fait tache face à la garantie d’accessibilité de l’information) ne précise pas explicitement les droits dont bénéficient les personnes dans sa section indiquant qu’elles peuvent contacter le DPO. Il n’y a pas d’information non plus disant qu’elles peuvent saisir la CNIL en cas de nécessité.



https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence

Discord sanctionnée de 800 000 euros pour cinq manquements au RGPD, le détail de la décision de la CNIL

  • Manquement sur la protection des données par défaut

  • Manquement sur la conservation des données

  • Manquement sur l’obligation d’information et d’assurer la sécurité

  • Manquement à l’obligation d’effectuer une analyse d’impact 

  • Pas de manquement sur l’obligation de transparence…

  • … ni sur le respect du droit d’opposition

  • Une sanction publique de 800 000 euros

Fermer