Le Quotidien du 29 janvier 2021 : Données personnelles

[Brèves] Attaque par « Credential stuffing » : la CNIL sanctionne un responsable de traitement et son sous-traitant et rappelle les obligations leur incombant

Réf. : CNIL, communiqué de presse, 27 janvier 2021

Lecture: 4 min

N6256BYD

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] Attaque par « Credential stuffing » : la CNIL sanctionne un responsable de traitement et son sous-traitant et rappelle les obligations leur incombant. Lire en ligne : https://www.lexbase.fr/article-juridique/64695707-breves-attaque-par-i-credential-stuffing-i-la-cnil-sanctionne-un-responsable-de-traitement-et-son-so
Copier

par Marie-Lou Hardouin-Ayrinhac

le 28 Janvier 2021

► La formation restreinte de la CNIL a sanctionné de 150 000 euros et 75 000 euros un responsable de traitement et son sous-traitant pour ne pas avoir pris de mesures satisfaisantes pour faire face à des attaques par bourrage d’identifiants (« credential stuffing ») sur le site web du responsable de traitement.

Faits et procédure. Entre juin 2018 et janvier 2020, la CNIL a reçu plusieurs dizaines de notifications de violations de données personnelles en lien avec un site internet à partir duquel plusieurs millions de clients effectuent régulièrement des achats. La CNIL a décidé de mener des contrôles auprès du responsable du traitement et de son sous-traitant, a qui était confié la gestion de ce site web.

Au cours de ses investigations, la CNIL a constaté que le site web en cause avait subi de nombreuses vagues d’attaques de type « credential stuffing ».

Qu’est-ce qu’une attaque par « credential stuffing » ?

Cette attaque se manifeste généralement par une très forte et soudaine affluence, dont la cause est un grand nombre de requêtes envoyées à destination des serveurs d’authentification des clients.

Mode opératoire. Dans ce type d’attaque, une personne malveillante récupère des listes d’identifiants et de mots de passe « en clair » publiées sur internet, généralement à la suite d’une violation de données. Partant du principe que les utilisateurs se servent souvent du même mot de passe et du même identifiant (l’adresse courriel) pour différents services, l’attaquant va, grâce à des « robots », tenter un grand nombre de connexions sur des sites. Lorsque l’authentification réussit, cela lui permet de prendre connaissance des informations associées aux comptes en question.

Enjeux. Une telle attaque, qui porte atteinte à la sécurité des données, peut avoir des conséquences importantes pour l’entreprise (pertes économiques, mauvaise réputation, etc.) et surtout pour les personnes concernées (perte d’accès au service, vol d’informations personnelles, etc.).

La CNIL a constaté que des attaquants ont ainsi pu prendre connaissance des informations suivantes : nom, prénom, adresse courriel et date de naissance des clients, mais également numéro et solde de leur carte de fidélité et des informations liées à leurs commandes.

Estimant les mesures de sécurité mises en place par le responsable de traitement et son sous-traitant insuffisantes, la CNIL les sanctionne en conséquence.

Des mesures de sécurité insuffisantes. La formation restreinte a considéré que les deux sociétés avaient manqué à leur obligation de préserver la sécurité des données personnelles des clients, prévue par l’article 32 du « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I).

En effet, les sociétés ont tardé à mettre en place des mesures permettant de lutter efficacement contre ces attaques répétées. Elles avaient décidé de concentrer leur stratégie de réponse sur le développement d’un outil permettant de détecter et de bloquer les attaques lancées à partir de robots. Toutefois, le développement de cet outil a pris un an à compter des premières attaques.

Or, dans l’intervalle, plusieurs autres mesures produisant des effets plus rapides auraient pu être envisagées afin d’empêcher de nouvelles attaques ou d’en atténuer les conséquences négatives pour les personnes, telles que :

  • la limitation du nombre de requêtes autorisées par adresse IP sur le site web, qui aurait pu permettre de freiner le rythme auquel les attaques étaient menées ;
  • l’apparition d’un CAPTCHA (acronyme de l'anglais « Completely Automated Public Turing test to tell Computers and Humans Apart » : il s'agit d'un test de Turing déterminant si l’utilisateur est un être humain ou un spam) dès la première tentative d’authentification des utilisateurs à leur compte, très difficile à contourner pour un robot.

Du fait de ce manque de diligence, les données d’environ 40 000 clients du site web ont été rendues accessibles à des tiers non autorisés entre mars 2018 et février 2019.

Les sanctions prononcées par la formation restreinte. Par conséquent, la formation restreinte a prononcé deux amendes distinctes – 150 000 euros à l’encontre du responsable de traitement et 75 000 euros à l’encontre du sous-traitant – au regard de leur responsabilité respective.

Obligations incombant au responsable de traitement et au sous-traitant. Elle a souligné que :

  • le responsable de traitement doit décider de la mise en place de mesures et donner des instructions documentées à son sous-traitant.
  • le sous-traitant doit rechercher les solutions techniques et organisationnelles les plus appropriées pour assurer la sécurité des données personnelles, et les proposer au responsable de traitement.

Non-publicité des délibérations. La formation restreinte a décidé de ne pas rendre publiques ces délibérations. Néanmoins, elle souhaite communiquer sur ces décisions pour alerter les professionnels sur la nécessité de renforcer leur vigilance concernant les attaques par « credential stuffing », et de développer, en lien avec leur sous-traitant, des mesures suffisantes pour garantir la protection des données personnelles.

Pour en savoir plus sur les attaques par « credential stuffing » : v. la fiche de la CNIL sur « la violation du trimestre : attaque par credential stuffing sur un site web » en date du 12 janvier 2021.

 

© Reproduction interdite, sauf autorisation écrite préalable

newsid:476256

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.