Infogreffe a fait tout ce qu'il ne faut pas faire avec les mots de passe
Des mots de passe transmis en clair dans des courriers électroniques, mais aussi des mots de passe conservés de la même façon dans une base de données.
La lecture de la délibération de la Cnil, partagée le 13 septembre, apparaît comme un festival de tout ce qu'il ne faut pas faire en matière de mots de passe. En effet, les règles de sécurité étaient très lâches, en ne contraignant pas chaque usager à se constituer un mot de passe assez robuste. Pire encore, la seule règle en place allait même à l'encontre d'une bonne pratique.
On apprend ainsi que les mots de passe de connexion des internautes pour accéder à leur compte depuis le site web « sont d’une robustesse insuffisante en ce qu’ils sont limités à huit caractères, sans aucun critère de complexité, et ne sont associés à aucune mesure de sécurité complémentaire ». Or aujourd'hui, un mot de passe long de huit caractères est jugé trop faible.
L'Agence nationale en charge de la sécurité des systèmes d'information (Anssi), qui a pour rôle de défendre les secteurs vitaux de la France face aux cyberattaques, a un outil permettant de calculer la « force » d’un mot de passe. Il ressort de ce service qu'un mot de passe est considéré comme convenable (c'est-à-dire moyen) à partir de seize caractères, avec des chiffres et des lettres.
Une politique de mots de passe chez Infogreffe qui a tout faux
En résumé, Infogreffe :
transmettait en clair les mots de passe définitifs par mail ;
stockait ces mots de passe en clair dans la base de données ;
conservait aussi en clair les questions et réponses secrètes utilisées pour réinitialiser les mots de passe ;
limitait à 8 caractères la taille des mots de passe ;
n'imposait aucun critère de complexité pour accroître leur robustesse ;
ne prévoyait aucune mesure de sécurité complémentaire.
Dans sa délibération, la Cnil mentionne le risque de subir des attaques par « force brute » ou par « dictionnaire », qui consistent à tester à la suite des combinaisons jusqu'à tomber sur celle permettant d'entrer sur le compte. Or, ces types d'attaque marchent d'autant mieux lorsque le mot de passe est facile à trouver, parce qu'il est trop court ou utilise un terme du dictionnaire.
Un mot de passe de 8 caractères peut être trouvé en un temps très court faute de contre-mesures (par exemple, blocage temporaire de l’accès au compte pendant plusieurs secondes ou minutes après quelques essais infructueux). Il faut environ 40 minutes aujourd'hui pour trouver un mot de passe de 8 caractères, même s'il mélange lettres majuscules et minuscules, chiffres et symboles.
Dans ces conditions, « il était impossible pour les 3,7 millions de comptes de saisir un mot de passe sécurisé » relève la Cnil. Il n'est plus admissible qu'un site web ou un organisme quelconque manque à ce point les obligations minimales en termes de sécurité web. Surtout lorsque l'on sait que les internautes ne sont pas bons dans le choix des mots de passe.
La bonne nouvelle, néanmoins, c'est qu'Infogreffe a depuis quelque peu rectifié le tir. « L’organisme a toutefois mis en œuvre certaines actions au cours de la procédure concernant la sécurisation de l’accès aux comptes et l’identification des membres et abonnés », observe avec satisfaction la Commission. Ça n'effacera pas le passé, mais ça réduit les risques pour l'avenir.
Autre faute relevée par la Cnil : la conservation excessive de données personnelles (données bancaires, noms, prénoms, adresses postale et électronique, téléphone fixe ou portable, question secrète et sa réponse), au-delà des 36 mois légaux prévus par les textes. Délai qui concerne les comptes inactifs. 25 % d'entre eux débordaient au-delà de ces trois ans.
Infogreffe aurait par ailleurs dû avoir une procédure d'anonymisation automatique, mais elle faisait également défaut. Elle existait sur demande, mais en pratique, elle n'était presque jamais sollicitée, faute d'être méconnue. Là encore, Infogreffe s'est rattrapée au cours de la procédure, en purgeant tous les comptes inactifs après les 36 mois.
Devant les faiblesses évidentes relevées par la Cnil dans les pratiques d'Infogreffe, qui violaient de fait les règles du Règlement général sur la protection des données (RGPD), la sanction édictée par la formation restreinte de la commission apparaît modeste -- 250 000 euros à régler. Cependant, Infogreffe est aussi sanctionnée par la médiatisation de ses fautes.
La sanction subie par Infogreffe servira peut-être d'avertissement à d'autres sociétés et organismes qui pourraient se trouver dans une situation analogue. Cela étant, le cas du registre du commerce et des sociétés apparaît presque comme exceptionnel. La Cnil avait noté dans sa délibération que sa politique de mots de passe n'avait pas été renouvelée depuis... 2002.