Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Mise en demeure par la CNIL, l’École 42 rentre dans les clous du RGPD

Fakir

Mise en demeure par la CNIL, l’École 42 rentre dans les clous du RGPD

Le 23 juillet 2019 à 12h28

La CNIL vient de clôturer la procédure de mise en demeure qu’elle avait ouverte en octobre 2018. L’association derrière l’École 42 s’est conformée à la législation sur les données personnelles.

En février 2018, l’autorité réalisait un contrôle sur place au terme duquel elle constatait une série de manquements à la législation en vigueur, antérieure au RGPD.

En particulier, une série de caméras de vidéosurveillance filmait en continu plusieurs salles de cours, des lieux de vie et des postes de travail d’employés. Dans le règlement intérieur, les personnes concernées n’étaient informées ni des destinataires des données ni de la durée de conservation des images. Ce n’est pas tout, une application permettait aux étudiants d’avoir accès en temps réel à ces images.

L’école a finalement revu et corrigé ce système. « L’association a retiré ou réorienté les caméras filmant les espaces de travail, les lieux de détente des étudiants et les postes du personnel » constate aujourd’hui la CNIL, laquelle avait pourtant offert deux mois de délai à 42, le 8 octobre dernier.

De plus, note l’autorité, des mesures ont été prises « pour que les étudiants et le personnel non autorisé ne puissent plus avoir accès aux images issues de la vidéosurveillance ». Les informations complètes afférentes à ce dispositif sont également placardées sur des panneaux et dans les mentions légales du site.

L’association a de même revu sa politique de mot de passe. L’espace personnel des étudiants n’était protégé que par un mot de 8 caractères alphanumériques avec majuscules et minuscules. Or, selon la délibération de 2018, « une authentification reposant sur l’utilisation d’un mot de passe insuffisamment complexe peut conduire à une compromission des comptes associés et à des attaques par des tiers non autorisés, par exemple des attaques par force brute ».

 

Commentaires (31)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Tu as des miniscules dans ton mot de passe URSSAF ? Parce que chez moi c’est que des chiffres et des majuscules, et c’était déjà le cas sur le mot de passe précédent. Donc j’ai l’impression que ça se limite à ça…



Et accessoirement, ils ont toujours pas été foutu de faire une redirection de urssaf.fr vers www.urssaf.fr…



Y a vraiment des baffes qui se perdent…

votre avatar

Le record c’est quand même Air France : un mot de passe de… 4 chiffres. Pourtant site assez sensible puisqu’ils ont des données personnelles (n° CNI/passeport, composition de la famille,…). Mais ça a peut-être changé depuis.

votre avatar

la CAF n’a peut être qu’un mdp de 8 chiffres mais utilise un pavé numérique aléatoire de plus il faut connaître le numéro de CAF , mois et année de naissance et code postal pour rentrer sur le compte

votre avatar

par aléatoire je disais pour les regards indiscret dans le dos

votre avatar

Mon mot de passe sur le site des impôts pour ma société c’est que des chiffres. Ça date de plus de 15 ans je pense (mais je dis peut-être une sottise) et n’a jamais été changé.



D’un côté c’est rassurant parce que ça peut vouloir dire que comme c’est hashé comme il faut ils n’en savent rien.



Ou alors c’est juste un trou béant.

votre avatar

L’école d’informatique dans laquelle je bosse, c’est 6 caractères alphanumériques (majuscules uniquement).

Et des failles de sécurité de partout, dûes à des économies de bouts de ficelle.

Ma plainte à la CNIL reste sans suite.

votre avatar







darkbeast a écrit :



Mot de passe de 8 caractères dans une école informatique <img data-src=" />









Crosty a écrit :



L’école d’informatique dans laquelle je bosse, c’est 6 caractères alphanumériques (majuscules uniquement).

Et des failles de sécurité de partout, dûes à des économies de bouts de ficelle.

Ma plainte à la CNIL reste sans suite.





Exactement, il serait naïf de croire que seul 42 a une telle politique de mdp. C’est pareil voire pire dans la plupart des écoles d’ingé info, même celles qui ont une spé SSI.

42 n’est que l’arbre qui cache la forêt.

Pour la vidéosurveillance, filmer les salles contenant des postes pour la lutte contre le vol est malheureusement indispensable; par contre le fait que tout le monde ou presque puisse y accéder, ça non.


votre avatar

8 caractères c’est suffisant si le compte est verrouillé après 3 essais infructueux.

votre avatar

C’est geré en interne avec LDAP, un des premiers exercice le premier jour de “Piscine” (les sélections) consiste a comprendre un peux comment fonctionne LDAP.

&nbsp;Et donc on trouve aussi comment changer le mdp. Vu qu’il sert aussi a déverrouiller la session les gens le changent très rapidement par le leur qui est plus simple a retenir.

votre avatar

oui ils ont changé

“pour des raisons de sécurité, vous DEVEZ changer de mot passe” (tu m’étonnes 4 chiffres que tu tapais au milieu de l’aéroport avec ton nom sur ta valise…)



sympa quand la procédure à lieu quand tu es sur l’appli en train d’embarquer par contre…



et ils sont passé de 4 chiffres simples à une obligation chiffre minuscule majuscule Caractère spécial.



mais ils sont fort car ils ont quand même limité à 12 caractères, on sait pas pourquoi…

votre avatar

D’ailleurs l’ancien directeur de l’école a été ‘victime’ de cette vidéosurveillance généralisée :p



La vidéo où il donne des fessées à une jeune femme quand les amphis sont vides traine encore sur la toile.

votre avatar

Ok, c’est (un peu) rassurant <img data-src=" />



Et comme toit je ne comprendrais jamais le besoin de limiter le nombre maximum de caractères. C’est débile pour la sécurité, et n’apporte rien à la boite (à part économiser un peu de stockage en base de données… Mais si elle râle ainsi les fonds de tiroir, il y a quelque chose qui cloche dans son fonctionnement)0

votre avatar

Si le mot de passe est hashé et salé, la place occupée en bdd est constante. Cela revient donc à un simple problème de champ sur le formulaire.

votre avatar

Sachant que tout le monde est au courant de l’existence de l’application,

pourquoi tout cadenasser ?



Il y a un dispositif sans mot de passe qui fait la meme chose:

ça s’appelle des yeux.

votre avatar

“Clôturer”?

Par moment, j’ai l’impression d’être sur Clubic. :vomi:

votre avatar

Mot de passe de 8 caractères dans une école informatique <img data-src=" />

votre avatar







darkbeast a écrit :



Mot de passe de 8 caractères dans une école informatique <img data-src=" />





Maintenant ce n’est plus “motdepasse” mais “motdepasse42”… <img data-src=" />


votre avatar







bilbonsacquet a écrit :



Maintenant ce n’est plus “motdepasse” mais “motdepasse42”… <img data-src=" />







non M0td3p4s$E pour faire hacker


votre avatar

C’était géré en interne ou par un presta ?

votre avatar







bilbonsacquet a écrit :



Maintenant ce n’est plus “motdepasse” mais “motdepasse42”… <img data-src=" />







Il doit toujours être écrit sur le post it à l’entrée de toute façon <img data-src=" />


votre avatar

On rigole mais sur le site de l’urssaf c’est toujours “exactement 8 caractères simples”. Et leur réponse c’est “oui oui, on a prévu de changer cela”. Sauf que ça dure depuis des temps immémoriaux.

votre avatar

Des mots de passe aussi peu sécurisés, il y a beaucoup de sites qui le font encore… Et même des sites qui obligent à avoir de tels mots de passes…



La CAF: seulement 8 chiffres…

Autoentrepreneur.urssaf.fr: 8 caractères MAXIMUM (lettres majuscules, minuscules et chiffres. Au moins 1 de chaque quand même^^)



EDIT: D’ailleur, pour le site des Autoentrepreneurs, c’est même pire. Lors de l’inscription, on ne choisi pas son mot de passe. On en reçoit un temporaire en clair par mail…

Il faut ensuite cliquer sur le lien du mail pour le modifier.

Mais, on peut tout de même auparavant se connecter, sans mot de passe, sans vérification de l’adresse mail, à la fin de l’inscription…

votre avatar

Les caméras qui filmaient les claviers de saisie des mots de passe trop simples ont été réorientées.



J’ai tout compris, ça va ?

votre avatar

Tu dis des bêtises. Il n’y a rien de moins indispensable que de la vidéosurveillance.

votre avatar







psn00ps a écrit :



Sachant que tout le monde est au courant de l’existence de l’application,

pourquoi tout cadenasser ?



Il y a un dispositif sans mot de passe qui fait la meme chose:

ça s’appelle des yeux.









Cumbalero a écrit :



Tu dis des bêtises. Il n’y a rien de moins indispensable que de la vidéosurveillance.





Bonne chance pour trouver des yeux abordables 247


votre avatar

Tu considère ca comme une sécurité ?

On peut contourner le clavier pseudo aléatoire en passant par le formulaire pour de connexion pour les handicapés.

votre avatar







CUlater a écrit :



Bonne chance pour trouver des yeux abordables 247







Ah, si, finalement: il y’a aussi peu indispensable que la vidéosurveillance: être ouvert 247.


votre avatar







CUlater a écrit :



Pour la vidéosurveillance, filmer les salles contenant des postes pour la lutte contre le vol est malheureusement indispensable



Lawl.

Mon boulot me prouve l’inverse. Tout est filmé hors partie administrative, et pourtant il est arrivé plusieurs fois qu’on retrouve dans les cellules de détenus des tables provenant de salles d’activité d’un autre étage (officiellement personne n’a jamais rien vu. Pourtant il y a eu au moins un surveillant pour ouvrir la salle d’activité, un pour ouvrir les grilles & portes qu’il peut voir visuellement et/ou via les caméras, et au moins un surveillant d’étage pour ouvrir la cellule. On doit certainement avoir des détenus passe-muraille, mais qui ne sont pas assez intelligents pour s’évader). Ou des ordis personnels de détenus qui changent de cellule sans que personne ne soit mis au courant (foutus passe-muraille incapables de s’évader correctement…).


votre avatar







Cumbalero a écrit :



Ah, si, finalement: il y’a aussi peu indispensable que la vidéosurveillance: être ouvert 247.



D’où le “abordable” <img data-src=" />







Patch a écrit :



Lawl.

Mon boulot me prouve l’inverse. Tout est filmé hors partie administrative, et pourtant il est arrivé plusieurs fois qu’on retrouve dans les cellules de détenus des tables provenant de salles d’activité d’un autre étage (officiellement personne n’a jamais rien vu. Pourtant il y a eu au moins un surveillant pour ouvrir la salle d’activité, un pour ouvrir les grilles & portes qu’il peut voir visuellement et/ou via les caméras, et au moins un surveillant d’étage pour ouvrir la cellule. On doit certainement avoir des détenus passe-muraille, mais qui ne sont pas assez intelligents pour s’évader). Ou des ordis personnels de détenus qui changent de cellule sans que personne ne soit mis au courant (foutus passe-muraille incapables de s’évader correctement…).





Donc école = prison? Lawl pareil.


votre avatar







CUlater a écrit :



Donc école = prison? Lawl pareil.



Il n’y a que toi qui fais un raccourci pareil…


votre avatar







Patch a écrit :



Il n’y a que toi qui fais un raccourci pareil…





Dit-il en disant que la vidéosurveillance dans les prisons est inefficace pour contre-argumenter mon avis qu’elle l’est dans les écoles (xp perso inside).&nbsp;


Mise en demeure par la CNIL, l’École 42 rentre dans les clous du RGPD

Fermer