L’organisme de surveillance français de la protection des données a infligé mardi une amende de 600 000 € au fournisseur d’électricité Électricité de France pour avoir enfreint les exigences du règlement général sur la protection des données (RGPD) de l’Union européenne. La Commission nationale de l’informatique et des libertés (CNIL) a déclaré que le service public d’électricité avait enfreint la réglementation européenne en stockant les mots de passe de plus de 25 800 comptes en les hachant à l’aide de l’algorithme MD5 aussi récemment qu’en juillet 2022. Il convient de noter que MD5, un algorithme de résumé de message, est considéré comme cryptographiquement cassé depuis décembre 2008 en raison du risque d’attaques par collision. En outre, l’autorité a noté que les mots de passe associés à 2 414 254 comptes clients n’avaient été que hachés et non salés, exposant les titulaires de comptes à de potentielles cybermenaces. L’enquête a également pointé du doigt EDF pour non-respect des politiques de conservation des données GDPR et pour avoir fourni « des informations inexactes sur l’origine des données collectées ». « Le montant de l’amende a été décidé compte tenu des manquements constatés et de la coopération de l’entreprise et de toutes les mesures qu’elle a prises au cours de la procédure pour parvenir à la mise en conformité de tous les manquements allégués », a précisé la CNIL. Les amendes sont arrivées moins de deux semaines après que la CNIL a infligé une amende de 800 000 € à Discord pour son non-respect des périodes de conservation des données pour les comptes inactifs et l’application d’une politique de mots de passe forts.