La Cnil vient de prendre une peine administrative de 600 000 euros contre EDF, qui sanctionne une mauvaise sécurisé des mots de passe et plusieurs autres infractions au RGPD.

Quel est le point commun entre Infogreffe, Discord et EDF ? Ces trois groupes ont fait dernièrement l’objet d’un contrôle de la Commission nationale de l’informatique et des libertés (Cnil). Et quel est le second point commun entre ces trois entreprises ? Toutes ont fait preuve d’une certaine légèreté quant à la sécurité des mots de passe.

Dans le cas d’EDF, dernière société en date à être sanctionnée par l’autorité de protection des données personnelles, deux fautes ont été relevées. La première concerne la manière dont était conservée une partie des mots de passe pour accéder à l’espace client du portail « prime énergie ». La seconde concerne la sécurité des mots de passe pour l’espace client EDF.

Des techniques de sécurisation manquantes et obsolètes

Dans le premier cas, on parle de presque 26 000 comptes dont le mot de passe « était conservé de manière non sécurisée jusqu’à juillet 2022 », observe la Cnil. Dans le détail, EDF exploitait à l’époque la fonction de hachage MD5, qui n’est plus du tout suffisante aujourd’hui. Cette faiblesse a été corrigée, note la Cnil, avec le passage à la fonction de hachage SHA-256.

La délibération de la Cnil révèle qu’EDF était pourtant bien passé à cette fonction de hachage plus robuste à partir de janvier 2018, mais qu’une petite portion de profils — ces 26 000 comptes — n’avait pas basculé. Cette fonction de hachage MD5 vient d’un sous-traitant d’EDF, non nommé dans la procédure. En tout, cela représentait 3,2 % des clients du portail « prime énergie ».

mot de passe
Certains mots de passe gérés par EDF ne bénéficiaient pas tous des meilleures techniques de sécurisation. // Source : Marco Verch

Aux yeux d’EDF pourtant, la situation était sous contrôle : même si la fonction de hachage n’était pas optimale, les mots de passe bénéficiaient quand même de « la robustesse du mécanisme supplémentaire d’aléa (salage), empêchant les attaques par tables précalculées ». Dès lors, pour l’électricien français, les mots de passe étaient « sécurisés ».

Quant à la fonction de hachage des mots de passe à l’espace client EDF, le souci résidait dans l’emploi de la fonction SHA-1, « pourtant réputée obsolète », écrit la Cnil. Il s’avère toutefois que cette fonction n’était pas employée — c’était bien SHA-512 qui était en vigueur, soutenue par un salage depuis mai 2017. C’était une erreur dans la communication à la Cnil.

Si ce point a été résolu, la Cnil a relevé qu’il y avait un problème de salage pour une grosse portion des mots de passe (plus de 2,4 millions). Les choses ont toutefois été résolues avec le temps. La Cnil note que les mots de passe ont été renouvelés et les anciens purgés, tandis que les mots de passe qui n’avaient pas de salage ont fini par l’avoir, en plus de la fonction de hachage SHA-512.

Ces manquements en matière de sécurité informatique constituent seulement l’un des soucis relevés par la Cnil lors de son contrôle. Plusieurs autres articles du Règlement général sur la protection des données (RGPD) ont été enfreints, dont l’obligation d’information, le respect de l’exercice des droits et un défaut de recueil du consentement pour de la publicité par mail.

L’ensemble de ces faux pas a conduit la Cnil à prononcer non seulement une sanction administrative de 600 000 euros — c’est loin d’être le maximum, mais la Cnil a tenu compte des commentaires d’EDF et des mesures correctrices mises en place entretemps –, mais aussi à rendre publique la sanction.


Aidez-nous à construire l’avenir de Numerama en répondant à cette enquête !