On ne pensait pas que cela pouvait arriver encore en 2022, mais la CNIL a rendu une délibération le mardi 13 septembre dernier assez lunaire. Infogreffe (site qui permet notamment de récupérer moyennant finance des documents pour les entreprises tels que Kbis et autres extraits venant de greffes de tribunaux) a été sanctionné pour sa mauvaise gestion des mots de passe sur son site internet.
Entre mots de passe en clair, et mots de passe trop courts
Pour être tout à fait honnête, la délibération de la CNIL est lunaire : Infogreffe a fait tout ce qu’il ne fallait pas faire dans la conservation des mots de passe des comptes utilisateurs de son site. La CNIL a par exemple pointé le site internet sur le fait que les mots de passe définitifs sont envoyés par mail en clair, ce qui indique aussi que les mots de passe sont stockés en base de données en clair aussi. Très mauvaise pratique, en effet si un pirate vient à siphonner la base de données d’Infogreffe, il n’aura aucun problème pour récupérer ces mots de passe.
Mais le pire n’est pas encore là : les mots de passe étaient limités à 8 caractères, sans vérification de la difficulté dudit mot de passe (présence de caractères spéciaux, majuscules etc…). L’ANSSI (Agence Nationale en charge de la Sécurité des Systèmes d’Informations) nous dit qu’un mot de passe de 8 caractères est trouvable en 40 minutes, qu’il contienne des majuscules, chiffres, caractères spéciaux ou non.
Un florilège de tout ce qu’il ne faut pas faire
Au-delà de ces quelques failles béantes (et d’autres, telle le non-blocage après plusieurs essais infructueux de connexions), Infogreffe a clairement fait tout ce qu’il ne fallait pas faire en terme de sécurité des mots de passe. Surtout quand on sait que les internautes ne sont pas bons pour choisir leurs mots de passe…
On peut rappeler les bons gestes pour un bon mot de passe :
– choisir un mot de passe long : 12 caractères est un minimum, mais l’ANSSI conseille un mot de passe de 16 caractères minimum
– méler chiffres, majuscules et caractères spéciaux : plus le mot de passe sera compliqué, plus ce sera difficile à trouver par hasard
– choisir un mot de passe par site : c’est compliqué, mais des outils comme Dashlane peuvent vous aider
– attention quand vous recevez un mot de passe en clair dans un mail : mot de passe en clair = stockage en clair, donc à fuir impérativement !