L’autorité française de protection des données a infligé mardi une amende au fournisseur d’électricité Électricité de France 600 000 € pour violation des exigences du Règlement général sur la protection des données (RGPD) de l’Union européenne.
La Commission nationale de l’informatique et des libertés (CNIL) a dit le service public d’électricité a enfreint la réglementation européenne en stockant les mots de passe de plus de 25 800 comptes en les hachant à l’aide du Algorithme MD5 aussi récemment qu’en juillet 2022.
Il convient de noter que MD5, un algorithme de résumé de message, est considéré comme cryptographiquement cassé à partir de décembre 2008 en raison du risque de attaques par collision.
En outre, l’autorité a noté que les mots de passe associés à 2 414 254 comptes clients avaient été uniquement hachés et non saléexposant les titulaires de compte à des cybermenaces potentielles.
L’enquête a également pointé du doigt EDF pour non-respect des politiques de conservation des données GDPR et pour avoir fourni « des informations inexactes sur l’origine des données collectées ».
« Le montant de l’amende a été arrêté compte tenu des manquements constatés et de la coopération de l’entreprise et de toutes les mesures qu’elle a prises au cours de la procédure pour se mettre en conformité avec tous les manquements allégués », a déclaré la CNIL. a dit.
Les amendes arrivent moins de deux semaines après la CNIL amende de 800 000 € pour Discord pour son non-respect des périodes de conservation des données pour les comptes inactifs et l’application d’une politique de mots de passe forts.