Infogreffe a fait tout ce qu’il ne faut pas faire avec les mots de passe
La Cnil vient de sanctionner Infogreffe pour des manquements en matière de RGPD. Du côté des mots de passe, c’était ni fait ni à faire.
Des mots de passe transmis en clair dans des courriers électroniques, mais aussi des mots de passe conservés de la même façon dans une base de données. Voilà les pratiques qu’observait encore récemment Infogreffe, avant de se faire attraper par la Commission nationale de l’informatique et des libertés (Cnil). Des pratiques qui ont été sanctionnées le 8 septembre 2022.
La lecture de la délibération de la Cnil, partagée le 13 septembre, apparaît comme un festival de tout ce qu’il ne faut pas faire en matière de mots de passe. En effet, les règles de sécurité étaient très lâches, en ne contraignant pas chaque usager à se constituer un mot de passe assez robuste. Pire encore, la seule règle en place allait même à l’encontre d’une bonne pratique.
On apprend ainsi que les mots de passe de connexion des internautes pour accéder à leur compte depuis le site web « sont d’une robustesse insuffisante en ce qu’ils sont limités à huit caractères, sans aucun critère de complexité, et ne sont associés à aucune mesure de sécurité complémentaire ». Or aujourd’hui, un mot de passe long de huit caractères est jugé trop faible.
L’Agence nationale en charge de la sécurité des systèmes d’information (Anssi), qui a pour rôle de défendre les secteurs vitaux de la France face aux cyberattaques,