Forcément, je n’avais pas le laisser passer A38…
La Scam envoie depuis au moins deux ans des mots de passe en clair, par email. Après avoir contacté le DPO sans changement visible, nous avons déposé plainte à la CNIL. On vous raconte ici notre histoire… qui se termine en eau de boudin.
En juin, la Société civile des auteurs multimédia (Scam) expliquait avoir « été victime d’une cyberattaque de type ransomware », en prenant soin de préciser que c’était malgré des efforts « soutenus en matière de prévention et de protection ».
En 2025, la Scam envoie toujours les mots de passe en clair
Nous étions alors assez surpris de voir que les mots de passe étaient renvoyés en clair durant la procédure de mot de passe perdu, avec l’identifiant en prime dans le même courriel. Si votre boîte email est compromise, c’est la catastrophe. Cette pratique est encore en place ce jour, d’après nos constatations.
Si personne ne peut se prétendre être à l’abri d’une cyberattaque (la fin de l’année 2024 et le début de 2025 le prouvent bien), on peut/doit faire son maximum pour limiter les risques. Un point important concerne justement la gestion des mots de passe des utilisateurs. La règle est simple : il ne doit pas être stocké ni envoyé en clair par email. Free a d’ailleurs été condamné pour ces pratiques (entre autres) par la CNIL.
Rappel : « les mots de passe ne doivent jamais être stockés en clair »
Les recommandations de la CNIL sont limpides : « Les mots de passe ne doivent jamais être stockés en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé ».
Dans le cas de la Scam, la Société peut d’une manière ou d’une autre accéder aux mots de passe. Soit ils sont stockés en clair, soit ils sont chiffrés mais déchiffrables, alors que cela ne devrait pas être le cas. Suite à notre actualité sur le sujet l’été dernier, nous avions contacté le DPO de la Scam le 21 juin, avec plusieurs questions (et une copie de l’email contenant le mot de passe en clair) :