Wekiwi montre l’exemple de ce qu’il ne faut pas faire sur la gestion des mots de passe. Lors d’un renouvellement, le nouveau est envoyé en clair par email. Pire : le service client nous l’a ressorti six jours plus tard (dans un échange d’email) comme si de rien n’était.
Wekiwi se présente comme un « fournisseur d'électricité et de gaz 100 % digital », comprendre 100 % en ligne. La société existe depuis juin 2018 selon Societe.com. Elle ne propose que des offres avec « un prix indexé sur les tarifs du marché ».
Les tarifs n’ont d’ailleurs rien d’intéressant en cette période : 0,4878 euro TTC le kWh, quand le tarif réglementé d’EDF est à 0,1740 euro TTC, soit trois fois moins cher. C’est à peu près la même chose sur le gaz. La société propose aussi un système de « super-remises » (sic) – on obtient alors le kWh à 0,3678 euro au lieu de 0,4878 euro, quelle aubaine (ou pas) – qui nécessite de rester au moins un an pour en profiter. Mais passons. Ce qui nous intéresse ici, ce ne sont pas les tarifs de Wekiwi, mais la sécurité des données de ses clients.
On pourrait s’attendre à ce qu’une société créée en 2018 et 100 % en ligne propose une gestion « propre » de la confidentialité des données et des procédures de connexion au compte. Force est de constater que ce n’est pas le cas, loin de là.
10 caractères seulement, sans caractères spéciaux
Lors d’une demande de mot de passe perdu effectuée depuis le site, nous avons reçu un email contenant un nouveau mot de passe. 10 caractères de long, avec un mélange de majuscules, minuscules et chiffres, sans caractères spéciaux. Premier point, on est loin des dernières recommandations de la CNIL et de l'ANSSI.
- Phrases de passe : l'ANSSI passe en mode 2.0
- Phrases de passe : la CNIL passe elle aussi en mode 2.0
Il est en effet question de l'équivalent d'une entropie d' « au moins 80 bits ». Si cela ne vous parle pas, cela correspond à un mot de passe de 14 caractères avec des majuscules, minuscules et chiffres, ou de seulement 12 caractères si on ajoute des caractères spéciaux, « à choisir dans une liste d'au moins 37 caractères spéciaux possibles ». Dans le cas de Wekiwi, on est loin du compte.
Quoi qu’il en soit, notre nouveau mot de passe est accompagné du message suivant : « Vous pouvez dès à présent l’utiliser pour vous connecter à votre espace client ». Une pratique dont nous regrettions déjà l’existence il y a plus de 10 ans.
Lors de la connexion au compte, le nouveau mot de passe fonctionne… et aucune demande de changement de celui-ci n’est proposée ou imposée par le site. En effet, certains services envoient parfois des mots de passe temporaires, à changer dès la première utilisation. Ce n’est pas le cas ici.
Besoin de votre mot de passe ? Le service client vous le donne en clair par email…
Mais il y a pire encore : ce même mot de passe nous a été renvoyé par email six jours plus tard par le service client. Nous l’avions contacté par email pour divers soucis, notamment l’impossibilité d’accéder au compte. C’est donc tout naturellement que notre interlocuteur nous le redonne, en clair.
Mail automatique le 10 janvier, réponse du service client le 16 janvier, avec le mot de passe dans le message
Ce n’est pas la même adresse email ? Ce n’est pas un souci…
Vous en voulez encore ? Lorsque nous avons contacté le service client, c’était avec un autre email que celui enregistré sur le compte Wekiwi. Nous avions certes donné le numéro de contrat (qui peut également faire office d’identifiant à la place de l’email), mais rien ne prouvait que nous étions bien qui nous prétendions être. Sans plus de formalité, le mot de passe en clair a donc été renvoyé à une adresse e-mail non vérifiée.
Alors que nous répondons « Je vois avec "joie" que vous stockez mon mot de passe en clair ! » et demandons au passage une copie des informations dont dispose la société à mon sujet au titre du RGPD, l’équipe de Wekiwi répond de manière surprenante :
« Comme indiqué dans nos conditions générales de vente article 9 " ...Le Fournisseur stocke et procède au traitement informatisé des données personnelles du Client afin de gérer la relation clientèle (dont la facturation et le recouvrement) dans le cadre de la vente d’énergie et de services..."
De ce fait, ces informations sont historisées dans le but d'un suivi des traitements de vos demandes. Cependant, nous nous engageons à protéger vos données du mieux que nous pouvons dans notre cadre. Vous pouvez consulter toutes vos informations directement sur votre espace client. »
Bref, il n’y a visiblement rien à redire sur le mot de passe stocké et transmis en clair, tandis que pour l’accès aux données, il n’y a qu’à se rendre dans l’espace client. Spoiler alerte : aucun lien ne permet de télécharger toutes les données.
Nous avons ensuite contacté le DPO pour avoir accès à nos données, qui a pour sa part demandé une confirmation supplémentaire puisque le mail d’où émanait notre demande n’était pas le même que celui enregistré sur le compte.
Rappel : « les mots de passe ne doivent jamais être stockés en clair »
Cet échange de mot de passe en clair pose plusieurs problèmes. Tout d’abord, il est soit stocké en clair, soit de manière chiffrée, mais accessible aux membres de « l’équipe Wekiwi » d’une manière ou d’une autre. Dans le cas contraire, le service client n’aurait pas pu le transmettre six jours après l’avoir changé.
Or, la CNIL est intraitable à ce sujet : « Les mots de passe ne doivent jamais être stockés en clair » (en gras sur son site). Les règles imposent pour rappel d’enregistrer une empreinte du mot de passe, ne permettant pas de remonter à ce dernier même en cas de compromission. La Commission a d’ailleurs condamné Free et Infogreffe, entre autres, pour des mots de passe de 8 caractères seulement, transmis et stockés en clair.
Ensuite, cela signifie que des employés et/ou sous-traitants de Wekiwi peuvent accéder au mot de passe et donc au compte de l’utilisateur. Dans notre cas, impossible de savoir ce qu’il en est puisqu’aucun historique de connexion n’est proposé sur l’espace client.
Et même si ce n’était pas le cas, faire transiter un mot de passe par email n’est jamais une bonne idée car il peut être récupéré simplement en ayant accès à la boite de réception. Dans le compte client, en plus de l’adresse et d’autres données personnelles, on retrouve aussi des coordonnées bancaires. Le récent cas d’Adecco montre les problèmes que cela peut engendrer.
Bien évidemment, un signalement a été fait à la CNIL par nos soins.
