Flexible Contact Center est un service de call-center en mode SaaS, commercialisé par Orange, à destination des entreprises.

Les mots de passe des comptes qui sont créés sur cette plateforme sont apparemment stockés en clair, puisqu’il leur arrive de les envoyer par email.

J’ai eu accès à un email envoyé par Orange Business Services à un de ses clients, avec une liste d’utilisateurs de leur plateforme FCC (Flexible Contact Center) ET les mots de passe associés. L’e-mail datait de septembre 2017.

Les personnes concernées avaient choisi leur mot de passe via l’interface de l’outil FCC (il ne s’agissait pas de mots de passe par défaut).

Donc Orange a accès en clair à ces mots de passe. Soit parce qu’ils sont stockés en clair, soit parce qu’ils sont chiffrés avec un algorithme réversible (et non un hash).

C’est évidemment très problématique en termes de sécurité (et contraire aux recommandations de la CNIL). Et les envoyer par email (non chiffré) n’arrange bien sûr pas les choses, d’autant que les destinataires email n’étaient pas les titulaires des comptes, mais d’autres employés du client en question.

Pour l’anecdote, la page web du produit mettait en avant le slogan suivant, il y a encore quelques semaines :

Avec Flexible Contact Center (…) Vous faites le choix de la confiance et de la sécurité

(la page a été entièrement refaite entre-temps, mais on retrouve cette version sur WayBackMachine)

J’ai fait un signalement à la CNIL (le 18/11/2017) : une réponse automatique m’indiquait un délai moyen de réponse de 60 jours. C’est à peu près le temps qu’il a fallu pour que je reçoive un autre e-mail (le 09/01/2018) :

Nous vous remercions de nous avoir contactés.

Votre signalement nous est très utile pour identifier les organismes publics ou privés qui ne se conformeraient pas aux dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ainsi que pour prendre les mesures qui s’imposent.

Il a été transmis à notre service des contrôles.

Bref, ça risque de prendre du temps… D’autant qu’il n’y a pas moyen de vérifier cela de l’extérieur.

Cela dit, je ne jette pas la pierre à la CNIL, qui est un organisme qu’on a la chance d’avoir en France, et qui fait probablement ce qu’il peut avec les moyens qu’il a.

En parallèle, je viens de contacter le CERT d’Orange directement. Étant donné qu’il ne s’agit pas d’une faille de sécurité exploitable depuis l’extérieur, j’ai décidé de publier cet article pour faire avancer les choses.