Nous sommes en 2022 et il y a encore des entreprises qui considèrent qu’il est judicieux d’envoyer des mots de passe en clair par mail, c’est-à-dire sans aucune protection particulière. Et des entreprises de grande taille parfois : la preuve avec Free Mobile, qui vient de recevoir ce 4 janvier 2022 une sanction de 300 000 euros pour une série de manquements à la loi.
Des mots de passe envoyés en clair par mail
La décision prise par la Commission nationale de l’informatique et des libertés (Cnil), qui date en fait du 28 décembre 2021, mais dont la publicité ne survient qu’aujourd’hui, punit quatre infractions au Règlement général de la protection des données (RGPD), mais celle qui retient le plus l’attention est celle des mots de passe. La Cnil y a vu ici une faute dans l’obligation de l’opérateur de téléphonie mobile à assurer un niveau de sécurité satisfaisant.
L’ampleur de ce problème aurait certes pu être nuancée, si Free Mobile avait fait en sorte que ces mots de passe en clair soient temporaires et ajouté l’obligation d’en changer au moment de la première connexion à l’espace client. Il n’en a rien été, relève la Cnil, qui a fait ces constats en contrôlant l’entreprise dans ses locaux, mais aussi en tenant compte de pièces qui lui ont été remontées.
Dans sa décision, la Cnil constate néanmoins que le problème des mots de passe s’est avéré assez limité, et c’est heureux. Ainsi, écrit l’autorité, « Ces manquements ne peuvent aucunement être regardés comme ayant un caractère systémique ». Elle n’a dénombré que sept plaintes en ce sens et que cette le problème a depuis été résolu. Autant de facteurs qui explique la tempérance dans le niveau de la sanction.
Le risque d’un mot de passe en clair sur une boîte mail est qu’il puisse être vu par un tiers, par-dessus l’épaule ou en cas de piratage de son service de messagerie — ce ne sont certes pas des cas de figure qui arrivent tout le temps, surtout si le webmail est protégé par l’authentification à deux facteurs, mais c’est une mauvaise politique que de miser sur la sécurité des autres.
L’amende de 300 000 euros, modeste par rapport à la taille d’un groupe comme Free Mobile, ne sanctionne pas que ce souci de mots de passe en clair. Trois autres infractions au RGPD sont couvertes par cette sanction :
- Une faute dans le droit d’opposition des personnes : des clients avaient demandé à ne plus recevoir de prospection commerciale, mais en recevaient quand même ;
- Un manquement dans le droit d’accès : des individus voulaient obtenir des données les concernant, mais Free Mobile n’a pas favorablement répondu dans les délais ;
- Un raté dans la conception et le traitement des données : Free Mobile adressait encore des factures à des personnes qui avaient résilié leur abonnement.
Mais si la sanction est réduite, du fait d’un volume de plaintes réduit, elle est accompagnée toutefois d’une révélation de la part de la Cnil, qui a décidé d’en informer le public : cela est justifié « par la nécessité de rappeler l’importance de traiter les demandes de droit des personnes et la sécurité des données des utilisateurs ». Parce qu’en 2022, envoyer en clair des mots de passe permanents n’est plus admissible.
Tous les manquements ont été corrigés.
(mise à jour de l’article afin de signifier plus clairement que la décision rendue par la Cnil est plus nuancée, notamment sur l’ampleur de l’incident concernant les mots de passe)
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !