Connexion
Abonnez-vous

Mot de passe envoyé en clair : on dépose une plainte à la CNIL et… rien ne bouge

Forcément, je n’avais pas le laisser passer A38…

Mot de passe envoyé en clair : on dépose une plainte à la CNIL et… rien ne bouge

La Scam envoie depuis au moins deux ans des mots de passe en clair, par email. Après avoir contacté le DPO sans changement visible, nous avons déposé plainte à la CNIL. On vous raconte ici notre histoire… qui se termine en eau de boudin.

Le 29 janvier à 12h50

En juin, la Société civile des auteurs multimédia (Scam) expliquait avoir « été victime d'une cyberattaque de type ransomware », en prenant soin de préciser que c’était malgré des efforts « soutenus en matière de prévention et de protection ».

En 2025, la Scam envoie toujours les mots de passe en clair

Nous étions alors assez surpris de voir que les mots de passe étaient renvoyés en clair durant la procédure de mot de passe perdu, avec l’identifiant en prime dans le même courriel. Si votre boîte email est compromise, c’est la catastrophe. Cette pratique est encore en place ce jour, d’après nos constatations.

Si personne ne peut se prétendre être à l'abri d’une cyberattaque (la fin de l’année 2024 et le début de 2025 le prouvent bien), on peut/doit faire son maximum pour limiter les risques. Un point important concerne justement la gestion des mots de passe des utilisateurs. La règle est simple : il ne doit pas être stocké ni envoyé en clair par email. Free a d’ailleurs été condamné pour ces pratiques (entre autres) par la CNIL.

Rappel : « les mots de passe ne doivent jamais être stockés en clair »

Les recommandations de la CNIL sont limpides : « Les mots de passe ne doivent jamais être stockés en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé ».

Dans le cas de la Scam, la Société peut d’une manière ou d’une autre accéder aux mots de passe. Soit ils sont stockés en clair, soit ils sont chiffrés mais déchiffrables, alors que cela ne devrait pas être le cas. Suite à notre actualité sur le sujet l'été dernier, nous avions contacté le DPO de la Scam le 21 juin, avec plusieurs questions (et une copie de l’email contenant le mot de passe en clair) :

Il reste 73% de l'article à découvrir.

Déjà abonné ? Se connecter

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Commentaires (28)

votre avatar
La question est maintenant de savoir ce que doit faire un citoyen lambda, qui n’a généralement pas les connaissances ni le temps de se lancer au Conseil d’État.
Pour se lancer devant le Conseil d'État, il faut avoir quelque chose à lui reprocher comme l'indique le 3 de l'article 78 du RGPD :
Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l'autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n'informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de la réclamation qu'elle a introduite au titre de l'article 77.
Il est donc possible de lui reprocher l'absence d'information sur la réclamation faite plus de 3 mois auparavant. Mais comme il y a eu une réponse dès le lendemain de la relance et peu de temps après les 3 mois (14 jours), je pense que c'est inutile.

L'amende n'est pas une obligation, le rappel à l'ordre est bien dans les pouvoirs qui lui sont attribués (2 de l'article 58). Donc la réclamation a été traitée.

Pour continuer, le mieux est de laisser un temps raisonnable à la SCAM pour corriger sa gestion des mots de passe (3 mois par exemple) puis de tester à nouveau.
Si rien n'a changer, recommencer : passage par le dpo en le mettant en demeure de faire la modification très rapidement vu qu'ils ont déjà eu 3 mois. puis si réponse non satisfaisant ou absence de réponse sous un mois (de mémoire), nouvelle plainte à la CNIL en lui indiquant bien que ta première demande est restée sans effet et en demandant une sanction plus forte donc une amende (ça ne coûte rien de demander et ça permettra d'avoir un argument pour aller devant le Conseil d''État la fois d'après).
Si la CNIL ne fait rien de plus que la première fois, là, il sera utile de pousser l'affaire devant le Conseil d'État en se faisant aider si besoin (on doit pouvoir trouver un lecteur qui sait faire (ou ancien collègue :fumer:)).
votre avatar
Je suis d'accord avec toi.

Cependant, cela ne m'empêche pas de trouver très légère la réaction de la CNIL pour un manquement qui fait partie de la base de l'état de l'art depuis plus de 15 ans maintenant.

La SCAM, dès que le DPO a été notifié initialement, aurait du réagir rapidement au sujet du stockage des mots de passe. Ce qui n'a pas été le cas. Dans un monde idéal, la CNIL en aurait tenu compte :craint:
votre avatar
Oui, mais la SCAM, c'est seulement :
54 672 auteurices
à comparer aux millions d'abonnés Free pour rester dans l'exemple donné par Sébastien.

Je ne pense pas que l'on puisse demander au Conseil d'État une sanction plus forte si la CNIL a décidé qu'un rappel à l'ordre suffisait. On n'est pas "partie" dans le cadre d'une réclamation à la CNIL.
Par contre, rien n'empêche de poursuivre directement la SCAM comme le rappelle le RGPD dans son article 79. Cela peut se faire en parallèle de la plainte à la CNIL mais ça nécessite plus de connaissances juridiques.


Mais, moi aussi j'aimerais que la CNIL sanctionne plus avec des amendes (dissuasives comme le dit le RGPD).
votre avatar
Le DPO de la Scam a été contacté pour la première fois le 21 juin 2024, on est largement au-delà des trois mois…
votre avatar
À mon avis, il faut lui laisser le temps par rapport à la demande de la CNIL pour porter à nouveau plainte sur ce nouveau manquement qui sera de ne pas avoir respecté ses obligations que lui a rappelées la CNIL et donc d'avoir ignoré la demande de la CNIL.

Le but est que ta seconde plainte ne soit pas rejetée parce que trop rapprochée de la première.

Ta demande initiale n'a que peu de valeur pour la CNIL qui n'en a pas tenu compte la première fois puisqu'elle n'a pas sanctionné par une amende. Leur propre demande devrait avoir plus de valeur si tu la mets bien en évidence dans ta seconde plainte.
votre avatar
Oui, mais la SCAM, c'est seulement : 54 672 auteurices
J'ai envie de dire qu'importe. Surtout que la SCAM, c'est 109M€ de droit d'auteur en 2021 par exemple.

Si un auteur peut changer son RIB, qu'importe qu'il y a 10 ou 2000000 personnes de concernées. Le mot de passe qui est stockée de manière réversible, c'est juste une honte et devrait être durement sanctionné.
votre avatar
C'est bien long!!
Devant une fuite de données, le responsable ne pourrait pas être condamné pour négligence si il ne chiffre pas les mots de passe?
votre avatar
On vous a dit que pour immatriculer une galère, il fallait s'adresser au port !
votre avatar
Merci pour ce reportage-témoinage qui montre les limites des autorités administratives dites indépendantes.
votre avatar
Du scamming
votre avatar
Pas étonné... j'ai eu le cas avec une plainte contre l'Unadev. Première plainte, un rappel à l'ordre de la Cnil, l'Unadev a dû se torcher avec. Il a fallu une seconde plainte pour que ça bouge...
votre avatar
J'ai le même souci avec le Concours Général Agricole qui envoie les mots de passe en clair pour les jurés dans absolument tous leur mails ; avec la cerise sur le gâteau de l'adresse mail DPO (présente pourtant dans leur charte des données) qui n'existe pas.

J'ai porté plainte aussi auprès de la CNIL début du mois mais j'ai peu d'espoir que ça change malheureusement.
votre avatar
Faut reconnaître qu’ils ont été rapides sur ce dossier, normalement il faut plusieurs mois voire années avant d’arriver au même résultat…
votre avatar
Encore un formidable papier mono sourcé qui sur le terrain du droit est tout sauf travaillé, tellement plus vendeur de privilégier l'angle de l'émotion et de la morale. Ca commence à faire beaucoup.

Donc on reprend. Il est de jurisprudence constante que les autorités administratives disposent d'un large pouvoir d'appréciation en matière de traitement des plaintes qui leur parviennent (par exemple, sur l'ARCEP, https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2022-06-21/453266 à garder sous le coude lorsqu'un prochain papier survolera la régulation des communications électroniques). C'est le principe de la régulation sectorielle, que cela plaise ou non aux experts de canapé.

Illustration pour la CNIL avec ceci :
conseil-etat.fr République Française
conseil-etat.fr République Française
conseil-etat.fr République Française

Et les premières décisions sur les recours évoqués dans l'article commencent à tomber, dans la lignée des précédentes.
conseil-etat.fr République Française

Mais travailler le sujet, c'est trop demander visiblement.
votre avatar
Je me suis peut être mal exprimé (je reformulerai) sur la question du Conseil d’État : mon but n’est pas d’aller au Conseil d'État, simplement c’est la seule possibilité que me laisse la CNIL dans son dernier message : je ne peux pas répondre à ma plainte puisque le dossier est clos.

Pour autant, rien n’a changé : le mot de passe est toujours envoyé en clair et le DPO ne répond plus à mes messages.
votre avatar
Le traitement du sujet a surtout été très superficiel dans la mesure où sur cette question de la gestion des plaintes faites par la CNIL il existe maintenant une jurisprudence solide (qu'on est libre de ne pas partager, et le cas échéant contester devant les instances adéquates au niveau UE).

Et que sur les procédures PURR, quitte à les mentionner dans l'article, il aurait été judicieux de faire état de la première décisions rendue spécifiquement sur cette question.

Enfin, le fait que la situation perdure malgré la clôture d'une plainte ne prive en aucun cas toute personne concernée soit (i) de saisir la CNIL d'une nouvelle plainte (ce qu'a encore expliqué le Conseil d'Etat à des plaignants qui trouvaient cela scandaleux ce manque d'action) (ii) d'intenter devant les juridictions civiles une action en réparation du préjudice subi (sur le fondement 1240 du code civil, et 1231-1 du code civil si c'est dans le cadre d'un contrat).
votre avatar
Je regarderai toute la jurisprudence que tu as partagée, merci :)
votre avatar
Cette réaction rappelle l'excuse typique du développeur :
"le bug est parfaitement normal, c'est implémenté comme ça , le code s’exécute correctement tel qu'il a été écrit".

L'article n'est pas un article de droit, il montre assez clairement (et probablement de manière assez représentative) que le processus actuel n'est pas efficace et ne permet pas dans le monde réel de faire en sorte que les violations soient réellement corrigées, que ce constat plaise ou non aux experts en droit ou aux fonctionnaires concernés.
Les détails juridiques importent peu au commun des mortels, tout comme la ligne de code qui cause le bug n'intéresse pas grand monde.
votre avatar
Je pense qu'une partie de l'incompréhension est que la CNIL parle de plainte alors que le RGPD parle de réclamation et que la loi du 6 janvier 1978 mélange les termes : "réclamations, pétitions et plaintes".

Pour le commun des mortels, une plainte à la CNIL c'est comme devant un tribunal alors que ce n'est pas le cas.
On en attend donc plus que de simples interventions après du fautif pour qu'il régularise alors que le RGPD est très clair sur l'éventail des choix possibles (ainsi que la jurisprudence du Conseil d'État dit aussi la même chose pour les autorités administratives).

Donc, si l'on veut porter plainte (vraiment), il faut le faire devant le tribunal compétent mais ce n'est pas le même effort.
votre avatar
"espace membre des auteurices" :vomi2:
votre avatar
@aeris22 va encore ricaner (jaune) ...
votre avatar
Dans cette histoire le délais ne me choque pas plus que ça, mais je trouve que le fait que la CNIL ne fasse qu'un "rappel des obligations" c'est juste pisser dans un violon et perdre du temps.. Rien ne changera et il faudra une 2e plainte pour que les choses commencent réellement à se mettre en branle.

Le premier avertissement de la CNIL devrait aussi être le dernier, du genre :
"Nous avons constaté un manquement, merci de vous mettre en conformité sous 3 mois ou l'amende de x% de votre CA tombera illico. En cas de problème pour la mise en conformité vous pouvez nous contacter et nous aménagerons si besoin le délais"

Je suis sûr que les réactions seraient beaucoup plus rapides, et la CNIL seraient moins débordée à devoir gérer plusieurs fois les mêmes plainte et "avertir" x fois les même boites.
votre avatar
Hasard du calendrier, j'ai reçu des news aujourd'hui de mon dossier en cours. CNIL a confirmé le transfert à l'autorité finlandaise.
votre avatar
"mon dossier" ?
votre avatar
Je ne comprends pas ; les mots de passe ont très bien pu être générés, envoyés (certes en clair), puis stockés hachés non ?
Ça n'enlève pas le fait que le "mailer" peut lire ces mots de passe, mais ça retire la question du stockage non ? (Ou alors j'ai loupé un truc 🤔)
votre avatar
Il s'agit des mots de passe choisis par les utilisateurs. Ceux là n'ont pas à être stockés en clair afin de pouvoir être renvoyés.
votre avatar
Ceux là n'ont pas à être stockés en clair afin de pouvoir être renvoyés.
Je me permets cette petite correction ;) :cap:
votre avatar
Ah OK, merci pour la précision qui m'avait échappée ! C'est plus clair d'un coup :-)

Mot de passe envoyé en clair : on dépose une plainte à la CNIL et… rien ne bouge

  • En 2025, la Scam envoie toujours les mots de passe en clair

  • Rappel : « les mots de passe ne doivent jamais être stockés en clair »

  • Le DPO transmet notre demande… et rien

  • On dépose une plainte en ligne à la CNIL

  • La CNIL rappelle à l’ordre la Scam et clôt le dossier

  • …alors que rien n’a changé

  • Le manque d’action de la CNIL dénoncé par certains

Fermer