Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Mot de passe envoyé en clair : on dépose une plainte à la CNIL et… rien ne bouge

Forcément, je n’avais pas le laisser passer A38…

Mot de passe envoyé en clair : on dépose une plainte à la CNIL et… rien ne bouge

La Scam envoie depuis au moins deux ans des mots de passe en clair, par email. Après avoir contacté le DPO sans changement visible, nous avons déposé plainte à la CNIL. On vous raconte ici notre histoire… qui se termine en eau de boudin.

Le 29 janvier à 12h50

En juin, la Société civile des auteurs multimédia (Scam) expliquait avoir « été victime d'une cyberattaque de type ransomware », en prenant soin de préciser que c’était malgré des efforts « soutenus en matière de prévention et de protection ».

En 2025, la Scam envoie toujours les mots de passe en clair

Nous étions alors assez surpris de voir que les mots de passe étaient renvoyés en clair durant la procédure de mot de passe perdu, avec l’identifiant en prime dans le même courriel. Si votre boîte email est compromise, c’est la catastrophe. Cette pratique est encore en place ce jour, d’après nos constatations.

Si personne ne peut se prétendre être à l'abri d’une cyberattaque (la fin de l’année 2024 et le début de 2025 le prouvent bien), on peut/doit faire son maximum pour limiter les risques. Un point important concerne justement la gestion des mots de passe des utilisateurs. La règle est simple : il ne doit pas être stocké ni envoyé en clair par email. Free a d’ailleurs été condamné pour ces pratiques (entre autres) par la CNIL.

Rappel : « les mots de passe ne doivent jamais être stockés en clair »

Les recommandations de la CNIL sont limpides : « Les mots de passe ne doivent jamais être stockés en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé ».

Dans le cas de la Scam, la Société peut d’une manière ou d’une autre accéder aux mots de passe. Soit ils sont stockés en clair, soit ils sont chiffrés mais déchiffrables, alors que cela ne devrait pas être le cas. Suite à notre actualité sur le sujet l'été dernier, nous avions contacté le DPO de la Scam le 21 juin, avec plusieurs questions (et une copie de l’email contenant le mot de passe en clair) :

« Comment se fait-il que vous m’envoyiez mon mot de passe en clair dans cet email ? Les règles de base imposent que le mot de passe soit haché de manière irréversible dans votre base de données.
Que se passe-t-il ? Les mots de passe sont stockés en clair ? Ils sont chiffrés, mais vous avez la clé de déchiffrement ? Qui a accès à mes données ? La cyberattaque dont vous avez été victime met-elle en danger mes données ? ».

Le DPO transmet notre demande… et rien

Le 25 juin, le DPO nous répond et affirme avoir « transmis » notre mail à la direction des systèmes d’informations de la Scam afin d’obtenir des réponses. Il nous explique notamment que « l’espace membre des auteurices n’est pas directement affecté pas la cyber-attaque dont la Scam a été victime. D’après les investigations toujours en cours, il ne semble pas non plus en être le vecteur d’attaque ».

Par contre, aucune réponse concernant le mot de passe envoyé en clair par email. Le DPO termine par : « Mais soyez assuré que je reviendrai vers vous dès que possible pour vous apporter des réponses à vos questions ». Ce 28 janvier, nous attendons encore.

On dépose une plainte en ligne à la CNIL

En septembre, faute de réponse, nous décidons de déposer une plainte à la CNIL avec, en pièce jointe, une copie des échanges par email avec le DPO de la Scam. La CNIL répond rapidement en demandant une copie des échanges avec la Scam. Document déjà fourni avec la demande initiale, mais que nous renvoyons quand même.

Un peu plus de deux semaines après, la Commission répond : « Votre demande a été transmise au service de l'exercice des droits et des plaintes de la CNIL ». Sans nouvelle, nous contactons la CNIL le 8 janvier pour expliquer l'absence de retour et que la Scam envoie toujours les mots de passe en clair.

La CNIL rappelle à l’ordre la Scam et clôt le dossier

Réponse complète de la CNIL du 9 janvier :

« Monsieur, 
Vous avez adressé à la Commission nationale de l’informatique et des libertés (CNIL) une réclamation relative aux garanties de sécurité et à la confidentialité appliquées aux données à caractère personnel mises en œuvre par SOC CIVILE DES AUTEURS MULTIMEDIAS.
La CNIL est intervenue à l’appui de votre demande auprès de l’organisme mis en cause. Elle lui a rappelé ses obligations et l’a alerté sur la nécessité de respecter les règles en vigueur.
Pour obtenir plus d’informations sur la règlementation applicable, vous pouvez consulter le site web de la CNIL : https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite.
Compte-tenu de ces éléments, je vous informe de la décision de la CNIL de clore votre plainte »

La plainte étant close, impossible de répondre à la CNIL. En bas du message, après la signature du correspondant, on retrouve une note : « Sous réserve de votre intérêt à agir, vous pouvez contester cette décision de clôture en saisissant le Conseil d’État dans un délai de 2 mois à compter de la date de notification de ce courrier ».

…alors que rien n’a changé

Maintenant que le dossier est clos, il n’est pas possible de répondre à la CNIL. Comme indiqué par la CNIL, il reste possible de saisir le Conseil d'État (sans recourir à un avocat) pour « contester cette décision de clôture », mais ce n’est pas une mince affaire pour un simple quidam.

Mais on se demande encore comment on a pu en arriver à une telle situation : la Scam n’a rien changé et continue ses mauvaises pratiques en matière de mot de passe, la CNIL clôt la plainte après avoir « alerté sur la nécessité de respecter les règles en vigueur » et le DPO ne répond pas.

Ce 8 janvier, nous avons recontacté le DPO pour expliquer de nouveau la situation et lui rappeler qu'aucune réponse n'a été apportée à la majorité des questions soulevées. Cet email est resté lettre morte. Trois semaines après cette relance, au lendemain de la journée de la protection des données, on se dit qu’il reste du travail...

La question est maintenant de savoir ce que doit faire un citoyen lambda. On regrette que la CNIL ne se montre pas plus autoritaire dans son action, se contentant d’un rappel qui n’a visiblement été suivi d’aucun changement. Nous ne sommes ni les premiers ni les seuls à relever ce point.

Le manque d’action de la CNIL dénoncé par certains

Il y a maintenant un an, Aeris (bien connu sur les réseaux sociaux pour son combat en faveur du respect du RGPD) accusait la CNIL de ne pas remplir « sa mission de veiller au respect du RGPD ».

L'association P·U·R·R (Pour un RGPD respecté), hébergée par Aeris, est montée au créneau avec une lettre ouverte à la CNIL demandant une « refonte profonde des procédures à la CNIL », suivie d’une réponse de la Commission et d’une réponse à la réponse de l’association.

En décembre, Mathias Moulin (secrétaire général adjoint de la CNIL) défendait la Commission sur la question des sanctions, jugées trop faibles : « Entre 2018 et 2024, nous avons changé de braquet. Nous n’avons pas une logique punitive, mais plutôt de mise en conformité des acteurs. […] On a vraiment une volonté d’augmenter le nombre de sanctions. Mais pas punir pour punir. On prône la mise en conformité avant tout ».

Commentaires (28)

votre avatar
La question est maintenant de savoir ce que doit faire un citoyen lambda, qui n’a généralement pas les connaissances ni le temps de se lancer au Conseil d’État.
Pour se lancer devant le Conseil d'État, il faut avoir quelque chose à lui reprocher comme l'indique le 3 de l'article 78 du RGPD :
Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l'autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n'informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de la réclamation qu'elle a introduite au titre de l'article 77.
Il est donc possible de lui reprocher l'absence d'information sur la réclamation faite plus de 3 mois auparavant. Mais comme il y a eu une réponse dès le lendemain de la relance et peu de temps après les 3 mois (14 jours), je pense que c'est inutile.

L'amende n'est pas une obligation, le rappel à l'ordre est bien dans les pouvoirs qui lui sont attribués (2 de l'article 58). Donc la réclamation a été traitée.

Pour continuer, le mieux est de laisser un temps raisonnable à la SCAM pour corriger sa gestion des mots de passe (3 mois par exemple) puis de tester à nouveau.
Si rien n'a changer, recommencer : passage par le dpo en le mettant en demeure de faire la modification très rapidement vu qu'ils ont déjà eu 3 mois. puis si réponse non satisfaisant ou absence de réponse sous un mois (de mémoire), nouvelle plainte à la CNIL en lui indiquant bien que ta première demande est restée sans effet et en demandant une sanction plus forte donc une amende (ça ne coûte rien de demander et ça permettra d'avoir un argument pour aller devant le Conseil d''État la fois d'après).
Si la CNIL ne fait rien de plus que la première fois, là, il sera utile de pousser l'affaire devant le Conseil d'État en se faisant aider si besoin (on doit pouvoir trouver un lecteur qui sait faire (ou ancien collègue :fumer:)).
votre avatar
Je suis d'accord avec toi.

Cependant, cela ne m'empêche pas de trouver très légère la réaction de la CNIL pour un manquement qui fait partie de la base de l'état de l'art depuis plus de 15 ans maintenant.

La SCAM, dès que le DPO a été notifié initialement, aurait du réagir rapidement au sujet du stockage des mots de passe. Ce qui n'a pas été le cas. Dans un monde idéal, la CNIL en aurait tenu compte :craint:
votre avatar
Oui, mais la SCAM, c'est seulement :
54 672 auteurices
à comparer aux millions d'abonnés Free pour rester dans l'exemple donné par Sébastien.

Je ne pense pas que l'on puisse demander au Conseil d'État une sanction plus forte si la CNIL a décidé qu'un rappel à l'ordre suffisait. On n'est pas "partie" dans le cadre d'une réclamation à la CNIL.
Par contre, rien n'empêche de poursuivre directement la SCAM comme le rappelle le RGPD dans son article 79. Cela peut se faire en parallèle de la plainte à la CNIL mais ça nécessite plus de connaissances juridiques.


Mais, moi aussi j'aimerais que la CNIL sanctionne plus avec des amendes (dissuasives comme le dit le RGPD).
votre avatar
Le DPO de la Scam a été contacté pour la première fois le 21 juin 2024, on est largement au-delà des trois mois…
votre avatar
À mon avis, il faut lui laisser le temps par rapport à la demande de la CNIL pour porter à nouveau plainte sur ce nouveau manquement qui sera de ne pas avoir respecté ses obligations que lui a rappelées la CNIL et donc d'avoir ignoré la demande de la CNIL.

Le but est que ta seconde plainte ne soit pas rejetée parce que trop rapprochée de la première.

Ta demande initiale n'a que peu de valeur pour la CNIL qui n'en a pas tenu compte la première fois puisqu'elle n'a pas sanctionné par une amende. Leur propre demande devrait avoir plus de valeur si tu la mets bien en évidence dans ta seconde plainte.
votre avatar
Oui, mais la SCAM, c'est seulement : 54 672 auteurices
J'ai envie de dire qu'importe. Surtout que la SCAM, c'est 109M€ de droit d'auteur en 2021 par exemple.

Si un auteur peut changer son RIB, qu'importe qu'il y a 10 ou 2000000 personnes de concernées. Le mot de passe qui est stockée de manière réversible, c'est juste une honte et devrait être durement sanctionné.
votre avatar
C'est bien long!!
Devant une fuite de données, le responsable ne pourrait pas être condamné pour négligence si il ne chiffre pas les mots de passe?
votre avatar
On vous a dit que pour immatriculer une galère, il fallait s'adresser au port !
votre avatar
Merci pour ce reportage-témoinage qui montre les limites des autorités administratives dites indépendantes.
votre avatar
Du scamming
votre avatar
Pas étonné... j'ai eu le cas avec une plainte contre l'Unadev. Première plainte, un rappel à l'ordre de la Cnil, l'Unadev a dû se torcher avec. Il a fallu une seconde plainte pour que ça bouge...
votre avatar
J'ai le même souci avec le Concours Général Agricole qui envoie les mots de passe en clair pour les jurés dans absolument tous leur mails ; avec la cerise sur le gâteau de l'adresse mail DPO (présente pourtant dans leur charte des données) qui n'existe pas.

J'ai porté plainte aussi auprès de la CNIL début du mois mais j'ai peu d'espoir que ça change malheureusement.
votre avatar
Faut reconnaître qu’ils ont été rapides sur ce dossier, normalement il faut plusieurs mois voire années avant d’arriver au même résultat…
votre avatar
Encore un formidable papier mono sourcé qui sur le terrain du droit est tout sauf travaillé, tellement plus vendeur de privilégier l'angle de l'émotion et de la morale. Ca commence à faire beaucoup.

Donc on reprend. Il est de jurisprudence constante que les autorités administratives disposent d'un large pouvoir d'appréciation en matière de traitement des plaintes qui leur parviennent (par exemple, sur l'ARCEP, https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2022-06-21/453266 à garder sous le coude lorsqu'un prochain papier survolera la régulation des communications électroniques). C'est le principe de la régulation sectorielle, que cela plaise ou non aux experts de canapé.

Illustration pour la CNIL avec ceci :
conseil-etat.fr République Française
conseil-etat.fr République Française
conseil-etat.fr République Française

Et les premières décisions sur les recours évoqués dans l'article commencent à tomber, dans la lignée des précédentes.
conseil-etat.fr République Française

Mais travailler le sujet, c'est trop demander visiblement.
votre avatar
Je me suis peut être mal exprimé (je reformulerai) sur la question du Conseil d’État : mon but n’est pas d’aller au Conseil d'État, simplement c’est la seule possibilité que me laisse la CNIL dans son dernier message : je ne peux pas répondre à ma plainte puisque le dossier est clos.

Pour autant, rien n’a changé : le mot de passe est toujours envoyé en clair et le DPO ne répond plus à mes messages.
votre avatar
Le traitement du sujet a surtout été très superficiel dans la mesure où sur cette question de la gestion des plaintes faites par la CNIL il existe maintenant une jurisprudence solide (qu'on est libre de ne pas partager, et le cas échéant contester devant les instances adéquates au niveau UE).

Et que sur les procédures PURR, quitte à les mentionner dans l'article, il aurait été judicieux de faire état de la première décisions rendue spécifiquement sur cette question.

Enfin, le fait que la situation perdure malgré la clôture d'une plainte ne prive en aucun cas toute personne concernée soit (i) de saisir la CNIL d'une nouvelle plainte (ce qu'a encore expliqué le Conseil d'Etat à des plaignants qui trouvaient cela scandaleux ce manque d'action) (ii) d'intenter devant les juridictions civiles une action en réparation du préjudice subi (sur le fondement 1240 du code civil, et 1231-1 du code civil si c'est dans le cadre d'un contrat).
votre avatar
Je regarderai toute la jurisprudence que tu as partagée, merci :)
votre avatar
Cette réaction rappelle l'excuse typique du développeur :
"le bug est parfaitement normal, c'est implémenté comme ça , le code s’exécute correctement tel qu'il a été écrit".

L'article n'est pas un article de droit, il montre assez clairement (et probablement de manière assez représentative) que le processus actuel n'est pas efficace et ne permet pas dans le monde réel de faire en sorte que les violations soient réellement corrigées, que ce constat plaise ou non aux experts en droit ou aux fonctionnaires concernés.
Les détails juridiques importent peu au commun des mortels, tout comme la ligne de code qui cause le bug n'intéresse pas grand monde.
votre avatar
Je pense qu'une partie de l'incompréhension est que la CNIL parle de plainte alors que le RGPD parle de réclamation et que la loi du 6 janvier 1978 mélange les termes : "réclamations, pétitions et plaintes".

Pour le commun des mortels, une plainte à la CNIL c'est comme devant un tribunal alors que ce n'est pas le cas.
On en attend donc plus que de simples interventions après du fautif pour qu'il régularise alors que le RGPD est très clair sur l'éventail des choix possibles (ainsi que la jurisprudence du Conseil d'État dit aussi la même chose pour les autorités administratives).

Donc, si l'on veut porter plainte (vraiment), il faut le faire devant le tribunal compétent mais ce n'est pas le même effort.
votre avatar
"espace membre des auteurices" :vomi2:
votre avatar
@aeris22 va encore ricaner (jaune) ...
votre avatar
Dans cette histoire le délais ne me choque pas plus que ça, mais je trouve que le fait que la CNIL ne fasse qu'un "rappel des obligations" c'est juste pisser dans un violon et perdre du temps.. Rien ne changera et il faudra une 2e plainte pour que les choses commencent réellement à se mettre en branle.

Le premier avertissement de la CNIL devrait aussi être le dernier, du genre :
"Nous avons constaté un manquement, merci de vous mettre en conformité sous 3 mois ou l'amende de x% de votre CA tombera illico. En cas de problème pour la mise en conformité vous pouvez nous contacter et nous aménagerons si besoin le délais"

Je suis sûr que les réactions seraient beaucoup plus rapides, et la CNIL seraient moins débordée à devoir gérer plusieurs fois les mêmes plainte et "avertir" x fois les même boites.
votre avatar
Hasard du calendrier, j'ai reçu des news aujourd'hui de mon dossier en cours. CNIL a confirmé le transfert à l'autorité finlandaise.
votre avatar
"mon dossier" ?
votre avatar
Je ne comprends pas ; les mots de passe ont très bien pu être générés, envoyés (certes en clair), puis stockés hachés non ?
Ça n'enlève pas le fait que le "mailer" peut lire ces mots de passe, mais ça retire la question du stockage non ? (Ou alors j'ai loupé un truc 🤔)
votre avatar
Il s'agit des mots de passe choisis par les utilisateurs. Ceux là n'ont pas à être stockés en clair afin de pouvoir être renvoyés.
votre avatar
Ceux là n'ont pas à être stockés en clair afin de pouvoir être renvoyés.
Je me permets cette petite correction ;) :cap:
votre avatar
Ah OK, merci pour la précision qui m'avait échappée ! C'est plus clair d'un coup :-)

Mot de passe envoyé en clair : on dépose une plainte à la CNIL et… rien ne bouge

  • En 2025, la Scam envoie toujours les mots de passe en clair

  • Rappel : « les mots de passe ne doivent jamais être stockés en clair »

  • Le DPO transmet notre demande… et rien

  • On dépose une plainte en ligne à la CNIL

  • La CNIL rappelle à l’ordre la Scam et clôt le dossier

  • …alors que rien n’a changé

  • Le manque d’action de la CNIL dénoncé par certains

Fermer