Affichage des résultats 1 à 2 sur 2

Discussion : Mots de passe non cryptés

  1. #1
    Membre

    Infos >

    Bonjour,

    Je travail dans une entreprise de prestation logiciel et j'ai un doute sur la légalité d'une demande d'un de nos client et notre responsabilité si nous y répondons.
    Nous avons en maintenance un de ses sites de commande en ligne où des utilisateurs professionnels peuvent se connecter pour consulter les tarifs et/ou commander.

    La commande n'enclenche pas de processus de paiement mais informe le vendeur(notre client) qu'un de ses clients veux passer une commande pour tel article, en telle quantité.

    Ce client m'a demandé une extraction des données des utilisateur de son site, dont les mots de passe, qui je précise sont en clair dans la base de donnée.
    Le client est déjà au courant que c'est illégal de stoker des mots de passe non crypté mais nous a informé par mail ne pas vouloir faire ce changement.

    Qu'en est il de notre responsabilité juridique quand à ces mots de passe en clair et cette demande d'extraction ? (fichier ******)

    Merci de vos réponses.

    Cordialement,
    Carb.
    Dernière modification par Modérateur 10 ; 16/06/2019 à 07h45. Motif: Anonymisation

  2. #2
    Pilier Junior

    Infos >

    Je suppose que vous parlez de ceci :
    Citation Envoyé par CNIL - Délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe
    S'agissant des modalités de conservation, la commission considère que le mot de passe ne doit jamais être stocké en clair. Elle recommande qu'il soit transformé au moyen d'une fonction cryptographique non réversible et sûre (c'est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l'utilisation d'un sel ou d'une clé.
    Je n'ai pas trouvé les sanctions en cas de non respect, mais je ne doute pas que la CNIL saura en trouver.
    Après ce texte m'a toujours choqué car une fonction cryptographique non réversible... Cela n'existe pas puisque que toutes ces fonctions sont bijectives...
    Je pense qu'ils veulent parler des fonctions de hachage mais bon... C'est peut être pas le sujet qu'on va aborder ici.

    Il faut déjà cibler votre responsabilité.
    Je suppose que vous êtes dans le pire cas possible, développeur du dit site ainsi qu'hébergeur ?
    Auquel cas le mieux serait de hacher tous les mots de passe avec du SHA-256, de modifier l'inscription et la connexion pour en faire de même et de lui livrer cela ainsi.
    L'impact est minime si le code est bien architecturé et vous sauvez l'aspect législatif.
    Restes plus que la relation avec votre client... Faut lui expliquez ce qu'est la loi... Et ce que vous risquez en tant qu'hébergeur de contenu.

    Cela dit s'il vous demande tout cela il y a le risque que ce soit justement pour aller héberger cela ailleurs... Donc qu'il se fiche un peu de votre situation...

    Attendez tout de même d'autres réactions sur ce forum, je sais que des avocats bénévoles passent dans cette section et ils pourront vous dire mieux que moi ce que peut vous permettre cet email de votre client.
    Mais je doute qu'un "le client est roi" soit retenu...

Discussions similaires

  1. [Consommation] résiliation abonnement chaines cryptés
    Par Pierre_antoine dans le forum Rapports à la société
    Réponses: 1
    Dernier message: 29/07/2011, 09h47
  2. [Mon Employeur] Arrêt maladie et mots de passe
    Par Lumineuse69 dans le forum Travail
    Réponses: 9
    Dernier message: 19/01/2011, 02h44
  3. [Mon Employeur] mots de passe
    Par Choupie69 dans le forum Travail
    Réponses: 4
    Dernier message: 17/07/2009, 11h49
  4. [Mon Employeur] Annulation des mots de passe et du numéro de mobile
    Par Tonied5 dans le forum Travail
    Réponses: 4
    Dernier message: 19/11/2008, 20h21
  5. [FAI et Téléphonie] Droit des utilisateurs rélatif aux mots de passe
    Par Mainma dans le forum Internet, Téléphonie et Prop. intellectuelle
    Réponses: 13
    Dernier message: 25/06/2007, 17h11