La CNIL vient de clôturer la procédure de mise en demeure qu’elle avait ouverte en octobre 2018. L’association derrière l’École 42 s’est conformée à la législation sur les données personnelles.
En février 2018, l’autorité réalisait un contrôle sur place au terme duquel elle constatait une série de manquements à la législation en vigueur, antérieure au RGPD.
En particulier, une série de caméras de vidéosurveillance filmait en continu plusieurs salles de cours, des lieux de vie et des postes de travail d’employés. Dans le règlement intérieur, les personnes concernées n’étaient informées ni des destinataires des données ni de la durée de conservation des images. Ce n’est pas tout, une application permettait aux étudiants d’avoir accès en temps réel à ces images.
L’école a finalement revu et corrigé ce système. « L’association a retiré ou réorienté les caméras filmant les espaces de travail, les lieux de détente des étudiants et les postes du personnel » constate aujourd’hui la CNIL, laquelle avait pourtant offert deux mois de délai à 42, le 8 octobre dernier.
De plus, note l’autorité, des mesures ont été prises « pour que les étudiants et le personnel non autorisé ne puissent plus avoir accès aux images issues de la vidéosurveillance ». Les informations complètes afférentes à ce dispositif sont également placardées sur des panneaux et dans les mentions légales du site.
L’association a de même revu sa politique de mot de passe. L’espace personnel des étudiants n’était protégé que par un mot de 8 caractères alphanumériques avec majuscules et minuscules. Or, selon la délibération de 2018, « une authentification reposant sur l’utilisation d’un mot de passe insuffisamment complexe peut conduire à une compromission des comptes associés et à des attaques par des tiers non autorisés, par exemple des attaques par force brute ».
Commentaires (32)
#1
Mot de passe de 8 caractères dans une école informatique
" />
#2
#3
#4
C’était géré en interne ou par un presta ?
#5
#6
On rigole mais sur le site de l’urssaf c’est toujours “exactement 8 caractères simples”. Et leur réponse c’est “oui oui, on a prévu de changer cela”. Sauf que ça dure depuis des temps immémoriaux.
#7
Des mots de passe aussi peu sécurisés, il y a beaucoup de sites qui le font encore… Et même des sites qui obligent à avoir de tels mots de passes…
La CAF: seulement 8 chiffres…
Autoentrepreneur.urssaf.fr: 8 caractères MAXIMUM (lettres majuscules, minuscules et chiffres. Au moins 1 de chaque quand même^^)
EDIT: D’ailleur, pour le site des Autoentrepreneurs, c’est même pire. Lors de l’inscription, on ne choisi pas son mot de passe. On en reçoit un temporaire en clair par mail…
Il faut ensuite cliquer sur le lien du mail pour le modifier.
Mais, on peut tout de même auparavant se connecter, sans mot de passe, sans vérification de l’adresse mail, à la fin de l’inscription…
#8
Les caméras qui filmaient les claviers de saisie des mots de passe trop simples ont été réorientées.
J’ai tout compris, ça va ?
#9
Tu as des miniscules dans ton mot de passe URSSAF ? Parce que chez moi c’est que des chiffres et des majuscules, et c’était déjà le cas sur le mot de passe précédent. Donc j’ai l’impression que ça se limite à ça…
Et accessoirement, ils ont toujours pas été foutu de faire une redirection de urssaf.fr vers www.urssaf.fr…
Y a vraiment des baffes qui se perdent…
#10
Le record c’est quand même Air France : un mot de passe de… 4 chiffres. Pourtant site assez sensible puisqu’ils ont des données personnelles (n° CNI/passeport, composition de la famille,…). Mais ça a peut-être changé depuis.
#11
la CAF n’a peut être qu’un mdp de 8 chiffres mais utilise un pavé numérique aléatoire de plus il faut connaître le numéro de CAF , mois et année de naissance et code postal pour rentrer sur le compte
#12
par aléatoire je disais pour les regards indiscret dans le dos
#13
Mon mot de passe sur le site des impôts pour ma société c’est que des chiffres. Ça date de plus de 15 ans je pense (mais je dis peut-être une sottise) et n’a jamais été changé.
D’un côté c’est rassurant parce que ça peut vouloir dire que comme c’est hashé comme il faut ils n’en savent rien.
Ou alors c’est juste un trou béant.
#14
L’école d’informatique dans laquelle je bosse, c’est 6 caractères alphanumériques (majuscules uniquement).
Et des failles de sécurité de partout, dûes à des économies de bouts de ficelle.
Ma plainte à la CNIL reste sans suite.
#15
#16
8 caractères c’est suffisant si le compte est verrouillé après 3 essais infructueux.
#17
C’est geré en interne avec LDAP, un des premiers exercice le premier jour de “Piscine” (les sélections) consiste a comprendre un peux comment fonctionne LDAP.
Et donc on trouve aussi comment changer le mdp. Vu qu’il sert aussi a déverrouiller la session les gens le changent très rapidement par le leur qui est plus simple a retenir.
#18
oui ils ont changé
“pour des raisons de sécurité, vous DEVEZ changer de mot passe” (tu m’étonnes 4 chiffres que tu tapais au milieu de l’aéroport avec ton nom sur ta valise…)
sympa quand la procédure à lieu quand tu es sur l’appli en train d’embarquer par contre…
et ils sont passé de 4 chiffres simples à une obligation chiffre minuscule majuscule Caractère spécial.
mais ils sont fort car ils ont quand même limité à 12 caractères, on sait pas pourquoi…
#19
D’ailleurs l’ancien directeur de l’école a été ‘victime’ de cette vidéosurveillance généralisée :p
La vidéo où il donne des fessées à une jeune femme quand les amphis sont vides traine encore sur la toile.
#20
Ok, c’est (un peu) rassurant
" />
Et comme toit je ne comprendrais jamais le besoin de limiter le nombre maximum de caractères. C’est débile pour la sécurité, et n’apporte rien à la boite (à part économiser un peu de stockage en base de données… Mais si elle râle ainsi les fonds de tiroir, il y a quelque chose qui cloche dans son fonctionnement)0
#21
Si le mot de passe est hashé et salé, la place occupée en bdd est constante. Cela revient donc à un simple problème de champ sur le formulaire.
#22
Sachant que tout le monde est au courant de l’existence de l’application,
pourquoi tout cadenasser ?
Il y a un dispositif sans mot de passe qui fait la meme chose:
ça s’appelle des yeux.
#23
“Clôturer”?
Par moment, j’ai l’impression d’être sur Clubic. :vomi:
#24
Tu dis des bêtises. Il n’y a rien de moins indispensable que de la vidéosurveillance.
#25
#26
Tu considère ca comme une sécurité ?
On peut contourner le clavier pseudo aléatoire en passant par le formulaire pour de connexion pour les handicapés.
#27
#28
#29
#30
#31