Ouvrir le menu principal

MacGeneration

Recherche

Free stockait les mots de passe en clair : 300 000 € d'amende

Pierre Dandumont

Friday 09 December 2022 à 15:20 • 45

Ailleurs

Free vient d'être sanctionné par la CNIL, avec une amende de 300 000 €. Le rapport, public, montre divers manquements en rapport avec la sécurité chez l'opérateur.

Plusieurs erreurs importantes

Free a été sanctionné pour plusieurs choses. Premièrement, le respect du droit d'accès : des plaignants n'ont pas pu accéder aux données les concernant dans les délais impartis. Certains plaignants voulaient notamment obtenir des informations sur la source des données, un point probablement en rapport avec du démarchage téléphonique.

Ensuite, un manquement au droit à l'effacement : visiblement, des demandes de suppression « effectives 48 heures après réception du courrier » n'étaient pas réellement prises en compte, notamment pour des comptes gratuits.

Troisièmement, 4 137 Freebox ont été remises en circulation sans que le reconditionnement soit parfait, avec des données a priori encore accessibles sur les disques durs.

Est-ce que Reef chiffre les mots de passe ?

Des mots de passe stockés en clair

Enfin, un point assez grave pour la sécurité, les mots de passe associés aux comptes de messageries étaient stockés en clair sur une base de données jusqu'en janvier 2020 et étaient envoyés (toujours en clair) dans des courriers électroniques ou dans des courriers postaux. Qui plus est, les mots de passe générés aléatoirement ne comportaient que 8 caractères, avec potentiellement un seul type de caractère (chiffres, lettres minuscules, lettres majuscules et caractères spéciaux).

iOS 16.2 pourra chiffrer de bout en bout les photos et les sauvegardes dans iCloud

iOS 16.2 pourra chiffrer de bout en bout les photos et les sauvegardes dans iCloud

Vous pourrez lire les différentes réponses de Free aux manquements signalés dans le compte rendu public, mais compte tenu de l'amende, elles n'ont pas réussi à convaincre la CNIL.

Enfin, la société doit aussi apporter une réponse aux plaignants sur les courtiers de données qui ont fourni leurs données personnelles, sous peine d'une astreinte de 500 € par jour à l'issue du délai d'un mois après la publication de la délibération.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner