Wekiwi envoie des mots de passe en clair, le service client les renvoie à une adresse email non vérifiée 

Wekiwi envoie des mots de passe en clair, le service client les renvoie à une adresse email non vérifiée 

We kiwi => Toi prune (par la CNIL)

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

19/01/2023 7 minutes
31

Wekiwi envoie des mots de passe en clair, le service client les renvoie à une adresse email non vérifiée 

Wekiwi montre l’exemple de ce qu’il ne faut pas faire sur la gestion des mots de passe. Lors d’un renouvellement, le nouveau est envoyé en clair par email. Pire : le service client nous l’a ressorti six jours plus tard (dans un échange d’email) comme si de rien n’était. 

Wekiwi se présente comme un « fournisseur d'électricité et de gaz 100 % digital », comprendre 100 % en ligne. La société existe depuis juin 2018 selon Societe.com. Elle ne propose que des offres avec « un prix indexé sur les tarifs du marché ».

Les tarifs n’ont d’ailleurs rien d’intéressant en cette période : 0,4878 euro TTC le kWh, quand le tarif réglementé d’EDF est à 0,1740 euro TTC, soit trois fois moins cher. C’est à peu près la même chose sur le gaz. La société propose aussi un système de « super-remises » (sic) – on obtient alors le kWh à 0,3678 euro au lieu de 0,4878 euro, quelle aubaine (ou pas) – qui nécessite de rester au moins un an pour en profiter. Mais passons. Ce qui nous intéresse ici, ce ne sont pas les tarifs de Wekiwi, mais la sécurité des données de ses clients. 

On pourrait s’attendre à ce qu’une société créée en 2018 et 100 % en ligne propose une gestion « propre » de la confidentialité des données et des procédures de connexion au compte. Force est de constater que ce n’est pas le cas, loin de là. 

10 caractères seulement, sans caractères spéciaux

Lors d’une demande de mot de passe perdu effectuée depuis le site, nous avons reçu un email contenant un nouveau mot de passe. 10 caractères de long, avec un mélange de majuscules, minuscules et chiffres, sans caractères spéciaux. Premier point, on est loin des dernières recommandations de la CNIL et de l'ANSSI.

Il est en effet question de l'équivalent d'une entropie d' « au moins 80 bits ». Si cela ne vous parle pas, cela correspond à un mot de passe de 14 caractères avec des majuscules, minuscules et chiffres, ou de seulement 12 caractères si on ajoute des caractères spéciaux, « à choisir dans une liste d'au moins 37 caractères spéciaux possibles ». Dans le cas de Wekiwi, on est loin du compte.

Quoi qu’il en soit, notre nouveau mot de passe est accompagné du message suivant : « Vous pouvez dès à présent l’utiliser pour vous connecter à votre espace client ». Une pratique dont nous regrettions déjà l’existence il y a plus de 10 ans.

Lors de la connexion au compte, le nouveau mot de passe fonctionne… et aucune demande de changement de celui-ci n’est proposée ou imposée par le site. En effet, certains services envoient parfois des mots de passe temporaires, à changer dès la première utilisation. Ce n’est pas le cas ici.

Besoin de votre mot de passe ? Le service client vous le donne en clair par email…

Mais il y a pire encore : ce même mot de passe nous a été renvoyé par email six jours plus tard par le service client. Nous l’avions contacté par email pour divers soucis, notamment l’impossibilité d’accéder au compte. C’est donc tout naturellement que notre interlocuteur nous le redonne, en clair.

WekiwiWekiwi
Mail automatique le 10 janvier, réponse du service client le 16 janvier, avec le mot de passe dans le message

Ce n’est pas la même adresse email ? Ce n’est pas un souci…

Vous en voulez encore ? Lorsque nous avons contacté le service client, c’était avec un autre email que celui enregistré sur le compte Wekiwi. Nous avions certes donné le numéro de contrat (qui peut également faire office d’identifiant à la place de l’email), mais rien ne prouvait que nous étions bien qui nous prétendions être. Sans plus de formalité, le mot de passe en clair a donc été renvoyé à une adresse e-mail non vérifiée.

Alors que nous répondons « Je vois avec "joie" que vous stockez mon mot de passe en clair ! » et demandons au passage une copie des informations dont dispose la société à mon sujet au titre du RGPD, l’équipe de Wekiwi répond de manière surprenante :

« Comme indiqué dans nos conditions générales de vente article 9 " ...Le Fournisseur stocke et procède au traitement informatisé des données personnelles du Client afin de gérer la relation clientèle (dont la facturation et le recouvrement) dans le cadre de la vente d’énergie et de services..."

De ce fait, ces informations sont historisées dans le but d'un suivi des traitements de vos demandes. Cependant, nous nous engageons à protéger vos données du mieux que nous pouvons dans notre cadre. Vous pouvez consulter toutes vos informations directement sur votre espace client. »

Bref, il n’y a visiblement rien à redire sur le mot de passe stocké et transmis en clair, tandis que pour l’accès aux données, il n’y a qu’à se rendre dans l’espace client. Spoiler alerte : aucun lien ne permet de télécharger toutes les données.

Nous avons ensuite contacté le DPO pour avoir accès à nos données, qui a pour sa part demandé une confirmation supplémentaire puisque le mail d’où émanait notre demande n’était pas le même que celui enregistré sur le compte. 

Rappel : « les mots de passe ne doivent jamais être stockés en clair »

Cet échange de mot de passe en clair pose plusieurs problèmes. Tout d’abord, il est soit stocké en clair, soit de manière chiffrée, mais accessible aux membres de « l’équipe Wekiwi » d’une manière ou d’une autre. Dans le cas contraire, le service client n’aurait pas pu le transmettre six jours après l’avoir changé. 

Or, la CNIL est intraitable à ce sujet : « Les mots de passe ne doivent jamais être stockés en clair » (en gras sur son site). Les règles imposent pour rappel d’enregistrer une empreinte du mot de passe, ne permettant pas de remonter à ce dernier même en cas de compromission. La Commission a d’ailleurs condamné Free et Infogreffe, entre autres, pour des mots de passe de 8 caractères seulement, transmis et stockés en clair. 

Ensuite, cela signifie que des employés et/ou sous-traitants de Wekiwi peuvent accéder au mot de passe et donc au compte de l’utilisateur. Dans notre cas, impossible de savoir ce qu’il en est puisqu’aucun historique de connexion n’est proposé sur l’espace client.

Et même si ce n’était pas le cas, faire transiter un mot de passe par email n’est jamais une bonne idée car il peut être récupéré simplement en ayant accès à la boite de réception. Dans le compte client, en plus de l’adresse et d’autres données personnelles, on retrouve aussi des coordonnées bancaires. Le récent cas d’Adecco montre les problèmes que cela peut engendrer.

Bien évidemment, un signalement a été fait à la CNIL par nos soins.

31

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

10 caractères seulement, sans caractères spéciaux

Besoin de votre mot de passe ? Le service client vous le donne en clair par email…

Ce n’est pas la même adresse email ? Ce n’est pas un souci…

Rappel : « les mots de passe ne doivent jamais être stockés en clair »

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (31)


Je n’ai qu’un mot: classe !



Effectivement, un exemple de tout ce qui ne faut pas faire, et j’osais imaginer que plus personne ne faisait encore cela :/



ça va leur faire une super pub, en plus de la CNIL qui va leur tomber dessus :transpi:


Alors la … :eeek2:



Il y a des vedettes !!!!! :bravo:


À chaque fois que je vois ce genre de news, j’ai une pensée pour une planche de CommitStrip



La planche en question : Une fonctionnalité de base


2018 !
C’est un signe :)


J’ai ici un exemple de logiciel vendu dans le commerce, pour la gestion des ressources humaines, et dont les mots de passes sont stockés en clair dans la base.
On parle de logiciel de plusieurs dizaines de milliers d’euros quand même. Et avec des données un tout petit peu confidentielles. Et d’un éditeur qui pèse 12 000 000€…



Comme d’hab, les gens râlent à l’école, râlent aux formations en disant que ça ne sert à rien ou que ça ne s’applique pas… et au final ne respectent pas ce que l’expérience des autres leur dit.


On veut un nom :D


Je te suggère de le signaler à la CNIL après une plainte auprès de l’utilisateur de ce logiciel (c’est lui le responsable du traitement des données).


Restez chez EDF, n’alimentez pas ces rapaces qui ne produisent aucune énergie…



Wosgien a dit:


J’ai ici un exemple de logiciel vendu dans le commerce, pour la gestion des ressources humaines, et dont les mots de passes sont stockés en clair dans la base. On parle de logiciel de plusieurs dizaines de milliers d’euros quand même. Et avec des données un tout petit peu confidentielles. Et d’un éditeur qui pèse 12 000 000€…



Comme d’hab, les gens râlent à l’école, râlent aux formations en disant que ça ne sert à rien ou que ça ne s’applique pas… et au final ne respectent pas ce que l’expérience des autres leur dit.




Vu le CA… Je dirais Asys avec GTA?


J’aime beaucoup ce point de leur politique de confidentialité :





  1. Confidentialité et mot de passe
    Vous êtes responsables de la protection de votre mot de passe. Vous ne devez pas le communiquer volontairement à des tiers.





Ce sous-titre… :bravo:


T-shirt corner aussi m’avait envoyé mon mdp par mail en clair… je leur avais envoyé un mail à ce propos, jamais reçu de réponse… je sais pas si c’est toujours le cas, mais j’ai décidé ne me passer de leur service du coup !


Faudrait inviter le responsable du service informatique à dîner un mercredi soir….
Mais bordel…. Plus ou moins 24 ans d’internet pour tout le monde, et voilà le résultat….


mais vous vous imaginiez quoi?



on dirait la PME du coin en mode cool-startup avec qui le mdp peut te donner à haute voix ton mdp en l’epelant au support téléphonique…



ils sont actifs depuis 2018, revendent des contrats et sont une équipe qui doit pas dépasser les quarante personnes, dont vingt stagiaires…



quoi de surprenant? j’ai vu tellement de PME faire pareil… si on devait toutes les aligner…..



et je peux vous citer de dizaines d’entreprises qui le font, meme récemment, courriels à l’appui : meme le service public fait pareil !


Les cybercriminels ont un bel avenir… avec des ahuris pareils qui ne tiennent jamais compte des recommandations des sacahants … Bref encore un domaine ou la médiocrité est l’objectif…



(reply:2115506:::1)




Tu as reçu un mail du service public avec ton mdp en clair dedans ? :eeek2: De quel service il s’agit ?



meme le service public fait pareil !
Des noms ?




Wosgien a dit:


J’ai ici un exemple de logiciel vendu dans le commerce, pour la gestion des ressources humaines, et dont les mots de passes sont stockés en clair dans la base. On parle de logiciel de plusieurs dizaines de milliers d’euros quand même. Et avec des données un tout petit peu confidentielles. Et d’un éditeur qui pèse 12 000 000€…




Pour un logiciel intranet (je suppose) c’est moins gênant. Ca déporte la sécurité ailleurs dans l’infra certes et c’est plus fragile que si c’est bien fait, mais c’est moins choquant que pour un site web ouvert sur le monde.


Quel honte!


Je crois que la CNIL peut maintenant nommer les entités dans ses délibérations ?



(quote:2115506:::1)
mais vous vous imaginiez quoi?



on dirait la PME du coin en mode cool-startup avec qui le mdp peut te donner à haute voix ton mdp en l’epelant au support téléphonique…



ils sont actifs depuis 2018, revendent des contrats et sont une équipe qui doit pas dépasser les quarante personnes, dont vingt stagiaires…



quoi de surprenant? j’ai vu tellement de PME faire pareil… si on devait toutes les aligner…..



et je peux vous citer de dizaines d’entreprises qui le font, meme récemment, courriels à l’appui : meme le service public fait pareil !




La gestion des identifications/mots de passe est une des briques de base d’une application web… C’est un peut comme si un chirurgien ne se lavait pas les mains de nos jours.



shadowfox a dit:


et le super admin a un mot de passe de 1 caractère.




2023 vient à peine de commencer que déjà il me semble dur que l’on trouve pire que cela.
Champion du monde le dev…


Marrant, je suis justement en train de bosser pour chiffrer les mots de passe d’une appli parce que ça fait 10 ans qu’ils sont stockés en clair et le super admin a un mot de passe de 1 caractère. (le brute force va être rapide…) Et c’est justement l’arrivée d’un audit de sécu pour la CNIL qui affole tout le monde.



Je voulais faire un hash, mais “faut faire comme sur les autres applis et on va pas cramer trop de temps sur ça” donc on chiffre et on m’a demandé d’envoyer en clair le mot de passe par mail lors d’une régénération…



Ce genre d’histoire est d’une banalité, et le pire c’est qu’en tant de dev, on n’a pas toujours son mot à dire. :(



(reply:2115506:::1)




C’est pas parce que la majorité le fait que c’est acceptable.



shadowfox a dit:


Ce genre d’histoire est d’une banalité, et le pire c’est qu’en tant de dev, on n’a pas toujours son mot à dire. :(




Ca dépend du statut du dev. Si c’est salarié dans la boite, effectivement, pas grand chose à faire à part faire remonter l’information.



Si c’est dev dans une ESN, il faut faire remonter l’information, pour que l’ESN puisse se protéger au cas où (elle a bien fait son devoir de conseil et que le client la décharge de toute responsabilité).



En tant que dev freelance (mon cas) : je refuse. Point. Quitte à perdre un client. Je n’ai même pas envie de me prendre la tête avec une décharge de responsabilité. En effet, si le client refuse de suivre les recommandations fortes et urgentes d’un expert quel qu’il soit, alors je sais par avance que de toute façon, j’aurais d’autres soucis avec lui plus tard.


Je suis le seul à tiquer sur le fait que le site te changes ton mot de passe, envoie le nouveau dans un mail, mais te dis que si t’as pas demandé le changement, il faut ignorer ce mail ?



Du coup quoi, l’ancien mot de passe marche encore ? Ou alors il faut ignorer de plus avoir accès à son compte ?



darkjack a dit:


2023 vient à peine de commencer que déjà il me semble dur que l’on trouve pire que cela. Champion du monde le dev…




Ah ben si la méthode de test du mot de passe qui retourne toujours true :transpi:


Appli de 2015 je crois. Le mot de passe est vérifié côté client en javascript. Et au moins une des fonctions a un bug dans la vérification qui fait que taper sur echap annule la vérification js.
Sinon la demande de mot de passe se fait par une fonction js (je sais plus laquelle, un truc du genre de “alert” , peut-être “input”), donc quand l’utilisateur tape le mot de passe il est visible à l’écran.
Il s’agit du mot de passe admin (pas de login).
Outre le fait que ce truc doit être déployé à 3 endroits avec 3 proprios/admin et 30 utilisateurs max.



Oh bien sûr qui dit vérification en js côté client dit mot de passe visible en clair dans les sources de la page. Heureusement y’a un commentaire qui dit que c’est pas très sécurisé, parce qu’on peut choper le mot de passe, mais qui ne parle pas du fait que echap suffit à contourner.



Mais ça ne permet pas d’accéder à des données personnelles. Les données personnelles sont en accès libre. Et aller sur la liste des clients envoie TOUS les clients d’un coup (ce qui fait que le truc est très lent maintenant qu’il y a beaucoup de clients), en clair (pas de SSL/TLS).



Est-ce que j’ai battu shadowfox ?


xlp

Appli de 2015 je crois. Le mot de passe est vérifié côté client en javascript. Et au moins une des fonctions a un bug dans la vérification qui fait que taper sur echap annule la vérification js.
Sinon la demande de mot de passe se fait par une fonction js (je sais plus laquelle, un truc du genre de “alert” , peut-être “input”), donc quand l’utilisateur tape le mot de passe il est visible à l’écran.
Il s’agit du mot de passe admin (pas de login).
Outre le fait que ce truc doit être déployé à 3 endroits avec 3 proprios/admin et 30 utilisateurs max.



Oh bien sûr qui dit vérification en js côté client dit mot de passe visible en clair dans les sources de la page. Heureusement y’a un commentaire qui dit que c’est pas très sécurisé, parce qu’on peut choper le mot de passe, mais qui ne parle pas du fait que echap suffit à contourner.



Mais ça ne permet pas d’accéder à des données personnelles. Les données personnelles sont en accès libre. Et aller sur la liste des clients envoie TOUS les clients d’un coup (ce qui fait que le truc est très lent maintenant qu’il y a beaucoup de clients), en clair (pas de SSL/TLS).



Est-ce que j’ai battu shadowfox ?


Ah c’est bon aussi. Il a matière à faire un concour


Recevoir un mot de passe par mail n’est pas un problème, à condition qu’il soit temporaire (obligation de le changer à la prochaine connexion.



Par contre, te renvoyer ton mot de passe c’est mauvais, même s’ils forcent à en changer ensuite, si jamais tu utilises un pattern pour créer tes mots de passes, quelqu’un pourrait le comprendre.


Ou est le problème 😂😂😂