Free stockait les mots de passe en clair : 300 000 € d'amende

Pierre Dandumont |

Free vient d'être sanctionné par la CNIL, avec une amende de 300 000 €. Le rapport, public, montre divers manquements en rapport avec la sécurité chez l'opérateur.

Plusieurs erreurs importantes

Free a été sanctionné pour plusieurs choses. Premièrement, le respect du droit d'accès : des plaignants n'ont pas pu accéder aux données les concernant dans les délais impartis. Certains plaignants voulaient notamment obtenir des informations sur la source des données, un point probablement en rapport avec du démarchage téléphonique.

Ensuite, un manquement au droit à l'effacement : visiblement, des demandes de suppression « effectives 48 heures après réception du courrier » n'étaient pas réellement prises en compte, notamment pour des comptes gratuits.

Troisièmement, 4 137 Freebox ont été remises en circulation sans que le reconditionnement soit parfait, avec des données a priori encore accessibles sur les disques durs.

Est-ce que Reef chiffre les mots de passe ?

Des mots de passe stockés en clair

Enfin, un point assez grave pour la sécurité, les mots de passe associés aux comptes de messageries étaient stockés en clair sur une base de données jusqu'en janvier 2020 et étaient envoyés (toujours en clair) dans des courriers électroniques ou dans des courriers postaux. Qui plus est, les mots de passe générés aléatoirement ne comportaient que 8 caractères, avec potentiellement un seul type de caractère (chiffres, lettres minuscules, lettres majuscules et caractères spéciaux).

iOS 16.2 pourra chiffrer de bout en bout les photos et les sauvegardes dans iCloud

iOS 16.2 pourra chiffrer de bout en bout les photos et les sauvegardes dans iCloud

Vous pourrez lire les différentes réponses de Free aux manquements signalés dans le compte rendu public, mais compte tenu de l'amende, elles n'ont pas réussi à convaincre la CNIL.

Enfin, la société doit aussi apporter une réponse aux plaignants sur les courtiers de données qui ont fourni leurs données personnelles, sous peine d'une astreinte de 500 € par jour à l'issue du délai d'un mois après la publication de la délibération.

Tags
#Free
avatar Sgt. Pepper | 

Vive Passkey 🙌

Dangereux de filer ses mdps à des incapables ☠️

avatar R-APPLE-R | 

Seulement 300 000€ 👿

avatar beteldor | 

Le « trublion des télécom », toujours à la pointe de la technologie !

avatar melaure | 

@beteldor

Est-ce que les gens vont vraiment réfléchir a pourquoi c’est pas cher, au lieu de foncer sur le low cost en se moquant de ce qu’il y a dans l’arrière boutique (ca commence déjà par un réseau en pots de yahourts).

D’ailleurs j’ai jamais compris comment on pouvait être un Apple User et choisir un fournisseur low cost avec un tel matériel haut de gamme …

avatar Valiran | 

@melaure

Le fournisseur low cost a pondu une Freebox Révolution dont la concurrence rattrape à peine, il me file 5gbps de bande passante…

avatar beteldor | 

@Valiran

Une jolie box, des gros speedtest, … c’est du cosmétique. Mais le plus important c’est que ça te convienne !

avatar Tweetly | 

@melaure

Je partage ton avis, quant on voit que des gens vont bouffer au resto du cœur avec un iPhone collé à l’oreille… Drôle d’époque…

avatar airmac | 

@Tweetly

Pas très réfléchis ton commentaire encore. Bref

avatar Patrick_C | 

@melaure

Les non low cost ont été les premiers à faire n’importe quoi : les neufbox étaient livrée wifi activé sans mot de passe, numericable avait laissé la possibilité d’explorer le réseau auquel ont était connecté et donc ses voisins…
Donc oui Free a bien deconné sur ce coup là mais ce n’est pas une histoire low cost.

avatar e2x | 

@melaure

Que voulez-vous, les Apple users sont aussi des pauvres

avatar airmac | 

@melaure

Simplement car tu ne réfléchis pas beaucoup semble-t-il.

avatar brunnno | 

Souscription en fin 2021 pour ma mère.
Et là aussi mot de passe envoyé en clair dans un mail.
Donc ça continue toujours…

avatar Yoshi_1 | 

@brunnno

Oui mais je pense qu’ils demandent de le changer à la connexion, comme beaucoup le font.

avatar Sevoli | 

300 k€ ça leur coûte moins cher de payer l’amende que de mettre en place une RGPD fiable de bout en bout

avatar Fredouille14 | 

@Sevoli

la direction s’est dit la même chose en 😝

avatar postman94801 | 

Peut-être que Reef, lui chiffrait les mots de passe….

avatar marc_os | 

@ postman94801

😋🤪

avatar Derw | 

@postman94801

Oui, avec un algorithme qui l’écrit à l’envers…

avatar DarkChocolâte | 

En tout cas, si on clique sur l'option "Mots de passe des comptes emails supplémentaires oubliés", on reçoit toujours un joli email avec tous les logins et leur mots de passe associés.

avatar marc_os | 

Free, cette entreprise qui a pu s'installer à l'origine grâce à un joli cadeau du gouvernement, à savoir l'utilisation des infrastructures de France-Telecom payées par le contribuable français, parce que la concurrence hein, c'est ce qu'il y a de mieux ?
Tiens, ça me rappelle les autoroutes vendues pas cher au privé après que nos impôts aient payé leur construction...

avatar Un Type Vrai | 

Bof. Pire que l'origine de l'argent des familles les plus riches d'Allemagne ou de France ?
Je ne crois pas non.

En tout cas c'est un bel hors sujet qui est proposé...

avatar marc_os | 

@ Un Type Vrai

> c'est un bel hors sujet

Ah bon, le sujet ce n'est pas Free ?

avatar k2r | 

@marc_os

« après que nos impôts aient payé leur construction... »

> « après que nos impôts ont payé leur construction... »

#MeCapello😉

avatar marc_os | 

@ k2r

Certes.

avatar Tweetly | 

@marc_os

« Free, cette entreprise qui a pu s'installer à l'origine grâce à un joli cadeau du gouvernement, à savoir l'utilisation des infrastructures de France-Telecom payées par le contribuable français, parce que la concurrence hein, c'est ce qu'il y a de mieux ? »

Certes… Mais ce n’est pas grâce à un « joli cadeau » mais à une réglementation européenne dont Bouygues, SFR et bien d’autres ont pu également bénéficier. Tous les pays européens ont été obligés d’appliquer cette nouvelle disposition.

Est-ce que tu imagines le coût que ça représente un réseau national de télécommunication ? Ainsi que la lenteur du déploiement que cela engendrerait si chaque opérateur avait dû construire son propre réseau ? Je ne te parle même pas du bordel anarchique au niveau de l’infrastructure…

Et on paieraient bien plus que 30/50 balles par mois notre abonnement…
Je traite tous les jours des demandes de réductions tarifaires pour des abonnés qui paient pas plus que 15 balles par mois…

Sérieusement, tu as préféré une réplique populiste plutôt que de réfléchir… Pauvre France…

avatar dorninem | 

@marc_os

Vu le tarif dingue payé par les fournisseurs Internet Adsl a FT on peut plutôt dire que cela a amené des tombeaux d'€ a orange qui a rentabilisé ses infras depuis des lustres...
Sur un abonnement de 20€ près de 12 vont à Orange.
Et comme ce système était mega rentable le gouvernement suivant suivant à fait l'inverse avec EDF en lui sommant de vendre de l'électricité pas chère à des rapaces qui en final revendait parfois à...EDF 🤮

avatar Patrick_C | 

@marc_os

1-cela n’aurait aucun sens de refaire un réseau téléphonique complet
2-ce réseau n’a pas été payé par les impôts mais par le monopole qu’avait France telecom. Cette dernière était d’ailleurs une source de revenu pour l’état.
Bref, tout faux, le cadeau c’était à France telecom.

avatar nmo | 

@marc_os

“ Free, cette entreprise qui a pu s'installer à l'origine grâce à un joli cadeau du gouvernement, à savoir l'utilisation des infrastructures de France-Telecom payées par le contribuable français, parce que la concurrence hein, c'est ce qu'il y a de mieux ?”

Ça n’a jamais été gratuit. Les FAI tiers payent l’utilisation de chaque ligne cuivre (un peu plus de 9€ par mois) + les frais location d’une baie dans le NRA quand ils font du dégroupage total, etc.

Pour le coup, cette ouverture à la concurrence du marché des FAI, sur le cuivre, bien qu’imparfaite, avait été faite de manière beaucoup plus intelligente (ou beaucoup moins débile, c’est selon), que ça ne l’a été sur le mobile ou sur la Fibre.

Sur le cuivre, on a une infrastructure physique géré par un opérateur national, mise à disposition de tout FAI souhaitant proposer de l’accès à Internet aux usagers, avec des conditions et prix d’accès à l’infrastructure qui sont les mêmes pour tous le monde, et qui permettent aussi bien aux tous petits qu’aux très gros acteurs, d’accéder à cette infrastructure.

Je suis complètement d’accord que la sacro-sainte concurrence n’est pas applicable à tous les secteurs d’activité. Mais sur le marché des télécoms, une concurrence relativement saine peut exister, à condition de la mettre sur la bonne couche du réseau (c’est-à-dire surtout pas sur l’infrastructure physique).

Finalement la plus grosse faute commise avec le réseau cuivre, c’est sa privatisation. L’infrastructure physique aurait du rester publique.

avatar moua | 

A l’origine, on recevait les mots de pass de connexion par courrier, puis par e-mail.

Une autre époque !

avatar kaya | 

@moua

J'ai du attendre une fois un mois pour obtenir les mots de passe de ma connexion ADSL.
En effet, une autre époque.

avatar Un Type Vrai | 

* Reef chiffre bien entendu avec l'algorithme sinistroverse...

avatar fredsoo | 

Quand on sait qu’il n’y a pas plus souple que la cnil….
D’abord un 1er rappel à l’ordre, puis un deuxième puis un rappel avant mise en demeure.
Puis une mise en demeure…. Ils ont du se faire tirer l’oreille 20 fois.
Il faut mettre des amendes a 10% du CA pour les calmer ces enculés qui ne respectent rien.

avatar airmac | 

@fredsoo

Wow t’es un vrai dur toi.

avatar tiagosilva | 

Y-a des tartes aux doigts qui se perdent... surtout dans la face toujours aussi niaise de son riche fondateur, Xavier de Niel du Minitel Rose 3615 Ulla !... J'te jure !...

avatar koko256 | 

S'il est tiré au hasard, ne pas rejeter les mots de passes avec un seul type de caractère est une bonne chose car sinon cela rend la force brute (un tout petit peu) plus facile.

avatar fte | 

Et certains voudraient que les citoyens fassent confiance aux entreprises privées avec leurs données privées.

Il ne faut pas faire confiance à quiconque avec nos données privées. Jamais.

avatar Krysten2001 | 

@fte

Ça dépend qui 😉

avatar Fredouille14 | 

qui sont les pigeons ? clients de free 🧐?

avatar adixya | 

Merci free lol

avatar MikeDelph | 

Curieux que marcmame ne viennent pas défendre son opérateur en carton….
C’est des amateurs cet opérateur.

avatar MarcMame | 

@MikeDelph

C’est indéfendable.
Y’a rien de plus à dire.

avatar loupgarou22 | 

Ah tiens c'est marrant, j'ai un compte "accès libre" free depuis 2003 avec plusieurs adresses mails. Il y'a une dizaine d'années je leur avais envoyé un courrier recommandé pour en supprimer certaines. Ça n'a jamais été fait.

Heureusement, quelques années après ils ont enfin donné la possibilité de pouvoir supprimer les adresses mails secondaires depuis leur interface web.

Donc je ne suis pas étonné qu'ils se soient pris une amende pour non prise en compte des demandes de suppression, notamment.

Après, je garde ces adresses car l'une me sert pour les commandes sur internet (adresse mail spammée à mort, d'ailleurs), et d'autres me servent pour des trucs spécifiques. Et ça reste pratique pour en créer une vite fait en 30 secondes avec un nom d'utilisateur spécifique, adresse qui sera complétement séparée du reste, sans devoir refaire une inscription complète chez un autre fournisseur mails.

avatar softjo | 

Free va donc investir 300’000 en amendes plutôt que d’investir 3’000’000 pour la sécurité.

Quel ridicule… les amendes sont tellement basses qu’elles ne sont qu’un investissement comme un autre. Mieux, vaut mieux violer la loi est plus profitable après amende que de respecter la loi.

avatar themasck | 

je prefere voir Free se prendre une amande de 300 000€ pour des erreurs , que de voir SFR et Bouygues augmenter les tarifs des abonnements en toute l'égalité en nous prenant pour des cruches !

avatar Lightman | 

Je fais partie des gens qui ont été démarchés par des centres d'appels dont les infos ne pouvaient venir que de Free !

CONNEXION UTILISATEUR