Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Après un an et une plainte à la CNIL, la SCAM n’envoie plus de mots de passe en clair

Je suis sûr je me suis fait des nouveaux amis !

Après un an et une plainte à la CNIL, la SCAM n’envoie plus de mots de passe en clair

Un an après notre signalement du problème au DPO et six mois après une plainte à la CNIL (clôturée depuis), la SCAM a enfin mis à jour son système de gestion d’un mot de passe perdu. Ce dernier était auparavant renvoyé en clair, par email.

Le 30 avril à 08h57

C’est enfin l’épilogue d’une histoire qui a débuté il y a un an, alors que la SCAM (Société Civile des Auteurs Multimédia) était victime d’une « cyberattaque de type ransomware ». Cela peut arriver à tout le monde, l’important est dans la manière de réagir, de renforcer ses sécurités et de communiquer.

Des « efforts soutenus »… mais des mots de passe envoyés en clair

La SCAM parlait d’« efforts soutenus en matière de prévention et de protection de [son] système d’information ». Nous avions un peu plus de mal avec cette affirmation, pour une raison assez simple : nous avions remarqué que la SCAM envoyait les mots de passe « perdus » en clair, par email, avec en prime un rappel de l’identifiant. Et ce n’est pas le nouveau mot de passe qui est envoyé, c’est bien l’ancien.

C’est contraire aux règles de bases : « Les mots de passe ne doivent jamais être stockés en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé », rappelle la CNIL.

Presque un an d’attente pour changer la procédure

Nous avions contacté dans la foulée le DPO de la SCAM, sans obtenir de réelle réponse sur la question des mots de passe envoyés en clair par email à l’époque. En février, après une relance de notre part, le DPO nous indique que « parmi les chantiers qui ont suivi cette attaque celui d’une réforme de cette procédure était bien sûr envisagée. Et je suis en mesure de vous annoncer qu’elle aboutira courant mars prochain ».

Le DPO nous affirme au passage que « les mots de passe ne sont pas stockés en clair. Ils sont chiffrés mais nous n’avons pas les clefs de déchiffrements. Aucun personnel de la SCAM n’y a accès ». En tout état de cause, la procédure est réversible puisque nous recevons notre ancien mot de passe en clair par email, alors que cela ne devrait pas être possible.

C’est finalement avec un peu de retard que la procédure a changé. D’après nos constatations, le mot de passe était encore envoyé en clair le 11 avril, mais ce n’est plus le cas aujourd’hui. À la place, un lien (valable 30 minutes) pour réinitialisation de mot de passe avec un formulaire en ligne.

Une plainte à la CNIL, un rappel des obligations

En septembre, plusieurs mois après avoir contacté le DPO, nous avions déposé une plainte à la CNIL. Elle était intervenue auprès de l’organisme afin de lui rappeler « ses obligations et l’a alerté sur la nécessité de respecter les règles en vigueur ». La Commission avait dans la foulée clos la plainte, même si l’envoi des mots de passe se faisait toujours en clair.

Vous avez d’autres exemples ?

Bref, c’est enfin une affaire terminée, mais c’est dommage d’avoir dû attendre un an et passer par une plainte à la CNIL avant d’en arriver là. Si vous avez connaissance de services qui envoient encore en clair des mots de passe en 2025, n’hésitez pas à nous les signaler via les commentaires, ou bien par e-mail.

Commentaires (16)

votre avatar
"Je suis sur je me suis fait des nouveaux amis !"
✌️
votre avatar
La réponse typique corpo pour noyer le poisson...

J'ai la nostalgie des articles procédures CADA en lisant celui-ci, qui l’eût cru ?
C'est bien de se faire de nouveaux amis.
:inpactitude:
votre avatar
Etonnant que Aeris ne soit pas sur le coup ... Les mots de passe envoyés en clair, c'est so '90 ...
votre avatar
Il est sur tellement d'autres sujets ! ^^
votre avatar
Le DPO nous affirme au passage que « les mots de passe ne sont pas stockés en clair. Ils sont chiffrés mais nous n’avons pas les clefs de déchiffrements. Aucun personnel de la SCAM n’y a accès ».
Cette réponse était priceless quand même. Surtout, si aucun personnel de la SCAM n'y a accès, c'est que c'est un tiers prestataire qui le pouvait, ce qui est encore moins rassurant.

Même si c'est un déchiffrement "à la demande", ça n'en restait pas moins une faille énorme. Du coup, on sait par quoi étaient routés les emails ? Parce que sur un outil de type Mandrill, le mail est consultable assez facilement, et ce pendant 30 jours.
D’après nos constatations, le mot de passe était encore envoyé en clair le 11 avril, mais ce n’est plus le cas aujourd’hui.
Passion réinitialisation :mdr:
votre avatar
Passion réinitialisation :mdr: -> Passion je vérifie ce qu’on me raconte ^^
Mais c’est presque l’idée :D
votre avatar
La clé de déchiffrement peut être installée physiquement sur le serveur, il n'est pas forcément nécessaire que cela soit un prestataire. Bon par contre évidemment les admin sys y ont accès
votre avatar
Il y a plusieurs années, alors client de la banque postale j'ai du augmenter le plafond de ma carte bleu en déplacement.
Pas possible de le faire sur leur site, grr déjà, il fallait que j'installe leur appli mais j'avais une impossibilité d'accès, me rappelle plus laquelle.
Leur assistance à réinitialisé mon mot de passe (normal) mais à réussi aussi à me donner mon code secret. :ooo:
votre avatar
C'est pas parce qu'ils ne l'envoient plus par mail qu'ils ne le stockent plus en clair :D
votre avatar
Cadeau : le logiciel en ligne cofra5 de arcelormittal

J'ai retesté aujourd'hui le bouton "Mot de passe oublié" et j'ai bien récupéré mon mot de passe ^.^

Bon... après... c'est pas le logiciel du siècle avec des millions d'utilisateurs non plus... J'avais même eu la flemme de contacter le support il y a 7/8 ans quand j'avais constaté le problème de peur de me retrouver face à la lourdeur administratif d'une aussi grosse entreprise.

Par contre, quand j'avais envoyé un mail au DPO du sous-traitant de mon librairie, le problème avait été rapidement corrigé.
votre avatar
Vieux motard que j'aimais.
votre avatar
La SCAM... tout est dans le nom !
votre avatar
Oui avec un nom pareil ça pouvait pas être autrement :D
votre avatar
Le problème c'est le débugage, pour reproduire un bug il est souvent nécessaire de se connecter de la même façon que le client et pour cela il faut connaitre le mot de passe donc qu'il soit en clair ou qu'il existe un accès dérobé.
votre avatar
Ceci n'est pas une justification valable.
D'abord, on ne devrait jamais débuguer sur l'infra de production, donc on duplique éventuellement le compte client sur un espace de debug et on modifie le mot de passe.
Ensuite, rien n'empêcherait de modifier le mot de passe le temps du débug après avoir prévenu l'utilisateur et de le remettre après (sa sauvegarde non réversible).
Les cas où un mot de passe précis est là source d'un bug doivent être rarissimes. Dans ces cas là, je veux bien que l'on demande son mot de passe au client, mais il faut qu'il ait le droit de refuser (si par exemple, il fait ce qu'il ne faudrait pas faire : utiliser le même mot de passe pour plusieurs comptes) et qu'ensuite on l'oblige à le changer.
votre avatar
3e option : l'impersonation (pas besoin d'avoir le mot de passe de l'utilisateur pour ça, il faut juste le prévoir pour un admin)

Après un an et une plainte à la CNIL, la SCAM n’envoie plus de mots de passe en clair

  • Des « efforts soutenus »… mais des mots de passe envoyés en clair

  • Presque un an d’attente pour changer la procédure

  • Une plainte à la CNIL, un rappel des obligations

  • Vous avez d’autres exemples ?

Fermer