EDF se fait punir pour avoir mal sécurisé les mots de passe des clients
La Cnil vient de prendre une peine administrative de 600 000 euros contre EDF, qui sanctionne une mauvaise sécurisé des mots de passe et plusieurs autres infractions au RGPD.
Quel est le point commun entre Infogreffe, Discord et EDF ? Ces trois groupes ont fait dernièrement l’objet d’un contrôle de la Commission nationale de l’informatique et des libertés (Cnil). Et quel est le second point commun entre ces trois entreprises ? Toutes ont fait preuve d’une certaine légèreté quant à la sécurité des mots de passe.
Dans le cas d’EDF, dernière société en date à être sanctionnée par l’autorité de protection des données personnelles, deux fautes ont été relevées. La première concerne la manière dont était conservée une partie des mots de passe pour accéder à l’espace client du portail « prime énergie ». La seconde concerne la sécurité des mots de passe pour l’espace client EDF.
Des techniques de sécurisation manquantes et obsolètes
Dans le premier cas, on parle de presque 26 000 comptes dont le mot de passe « était conservé de manière non sécurisée jusqu’à juillet 2022 », observe la Cnil. Dans le détail, EDF exploitait à l’époque la fonction de hachage MD5, qui n’est plus du tout suffisante aujourd’hui. Cette faiblesse a été corrigée, note la Cnil, avec le passage à la fonction de hachage SHA-256.
La délibération de la Cnil révèle qu’EDF était pourtant bien passé à cette fonction de hachage plus robuste à partir de janvier 2018,
