La CNIL condamne Infogreffe pour des défauts sur les mots de passe : une amende de 250 000€ infligée
La CNIL a infligé une amende de 250 000€ à Infogreffe, en charge de regrouper les données concernant les entreprises. Cette dernière n'a pas mis en place des solutions de protections des données personnelles pour les comptes des utilisateurs du service.
Petit historique d'Infogreffe
Créé en 1986 par 2 greffiers, le service permet de regrouper les informations sur les entreprises que les 235 greffes de France ont. Ils lanceront en 1987 le service 3615 INFOGREFFE sur Minitel pour interroger cette base de données. Il faudra attendre 1991 pour le lancement du site Internet infogreffe.fr.
En 2007, les greffes profitent du site pour permettre aux entreprises d'effectuer des formalités en ligne, comme l'extrait KBis en 24h.
Les griefs contre Infogreffe
Hélas, le site n'a pas beaucoup évolué depuis sa création. Certaines fonctionnalités sont restées dans les fonctionnalités d'origine. Ainsi, devant être désactivé au bout de 3 ans, les comptes Infogreffe (avec ou sans abonnement) étaient conservés au-delà de cette durée, avec les informations des utilisateurs (données bancaires, noms, prénoms, adresses postale et électronique, téléphone fixe ou portable, question secrète et sa réponse).
De plus, la CNIL (Commission Nationale Informatique et Liberté) a constaté que Infogreffe limitait l'utilisation d'un mot de passe robuste pour les 3,7 millions de comptes Infogreffe à cause d'une limitation dans la taille.
De plus, le mot de passe temporaire était envoyé en clair par courriel à l'utilisateur et ce mot de passe était en clair dans la base de données. Les questions et réponses secrètes pour la réinitialisation sont également en clair.
Au vu des manquements, la CNIL inflige une amende de 250 000€. Durant l'investigation, Infogreffe a procédé à une purge des comptes inutilisés tandis que des modifications ont été mises en œuvre pour l'accès au compte et dans la gestion des mots de passe.
