webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Une sanction de la CNIL pour protection insuffisante contre le "credential stuffing"

CNIL, Décision du 27 janvier 2021

La CNIL rappelle que la sécurisation des données personnelles (article 32 du RGPD) est et demeure un sujet d’actualité. Dans sa décision du 27 janvier 2021, l’autorité sanctionne ainsi un responsable du traitement et son sous-traitant pour ne pas avoir mis en place des mesures suffisantes contre le "credential stuffing". En publiant son commentaire de cette décision, la CNIL souhaite alerter les autres acteurs sur les dangers de cette pratique et sur les condamnations qu’ils risquent. 

La CNIL est particulièrement active en ce moment, ainsi qu’en atteste sa nouvelle condamnation du 27 janvier dernier contre deux sociétés (le responsable du traitement et son sous-traitant).

Contrairement à des décisions précédentes, les amendes prononcées ne sont cependant pas particulièrement élevées : 150 000 euros pour le responsable de traitement et 75 000 euros pour son sous-traitant. Rien à voir donc avec les amendes prononcées contre Google et Amazon en décembre dernier.

On ne connaît d’ailleurs pas l’identité des deux sociétés condamnées, la formation restreinte de la CNIL qui a prononcé la condamnation n’a pas décidé de rendre la décision publique. Seul un communiqué sur cette décision a été publié.

Pourtant, cette décision du 27 janvier apparaît intéressante notamment car elle a pour thème la sécurisation des données personnelles, thématique parfois sous-estimée par les acteurs.

Plus particulièrement, la CNIL a sanctionné les sociétés pour défaut de sécurisation contre le credential stuffing.

Le credential stuffing ou bourrage d’identifiants est un type de cyberattaque qui consiste à utiliser des informations de comptes volés (identifiants et mots de passe) et regroupés dans des listes pour tenter d’accéder sans autorisation à un site donné. En d’autres termes, contrairement à l’attaque dite par bruteforce, le credential stuffing ne cherche pas à « casser » le mot de passe d’un compte mais à utiliser des millions de paires d’identifiants/mots de passe déjà découverts et ce afin d’accéder à des comptes privés.

En réalité, le hacker se sert donc du défaut de précaution des clients qui utilisent les mêmes identifiants/mots de passe pour des services différents afin de mener à bien son attaque.

En l’espèce, la CNIL est intervenue auprès du responsable de traitement après avoir reçu plusieurs dizaines de notifications de violation de données en lien avec son site internet entre juin 2018 et janvier 2020. Après investigation, la CNIL a découvert que la société avait ainsi été victime de plusieurs vagues de credential stuffing.

Les attaquants ont ainsi pu prendre connaissance de nombreuses informations : nom, prénom, adresse courriel et date de naissance des clients, mais également numéro et solde de leur carte de fidélité et des informations liées à leurs commandes.

Or, d’après la CNIL les deux sociétés n’ont pas pris les mesures nécessaires pour lutter efficacement contre ce type d’attaque, cherchant à créer un outil pour contrer les attaques lancées à partir de robots alors que d’autres mesures plus simples auraient pu être mises en place comme :

  • La limitation du nombre de requêtes par adresse IP ;
  • L’utilisation d’un CAPTCHA - ces « tests » qui vous demandent de rentrer un code pour vérifier que vous n’êtes pas un robot.

C’est cet immobilisme qui a sans doute été sanctionné par la CNIL qui a donc considéré que la violation de l’article 32 du RGPD, relative à la sécurisation des données personnelles, était caractérisée.

Par ailleurs, il semble que la CNIL tienne particulièrement à alerter les entreprises sur les dangers du credential stuffing ainsi qu’en atteste la fiche qu’elle a publiée le 12 janvier dernier et qui a pour titre : La violation du trimestre : attaque par credential stuffing sur un site web.

Dans cette fiche, la CNIL rappelle notamment les différentes étapes à suivre en cas de cyberattaque et préconise également des mesures pour diminuer les risques de credential stuffing :

  • L’authentification à plusieurs facteurs (ex : envoi d’un SMS) ;
  • Un couple identifiant/mot de passe où l’identifiant n’est pas l’adresse mail.

En tout état de cause, la décision du 27 janvier rappelle si c’était nécessaire l’importance à attacher à la cybersécurité alors même qu’on a vu dernièrement que même les experts en cybersécurité peuvent se trouver en position de victimes.

A rapprocher : Décision de la CNIL du 27 janvier 2021 ; Définition du credential stuffing, Wikipedia ; Définition du bruteforce, Wikipedia ; Fiche de la CNIL sur la protection contre le credential stuffing du 12 janvier 2021

VOIR AUSSI

Data : L’amélioration de ses services en ligne nécessite une base légale spécifique !

Décision de la CNIL n°MED-2017-075 du 27 novembre 2017

- Vu : 1124

La formation restreinte de la CNIL a prononcé une mise en demeure publique à l’encontre de la société WHATSAPP rappelant que lorsqu’il existe plusieurs finalités à un traitement qui nécessitent un consentement de la personne concernée, celui-ci doit être recueilli de manière spécifique...

> Lire la suite

La commercialisation des données personnelles dans la ligne de mire de la CNIL !

- Vu : 1159

Le 12 mai 2016, la CNIL a dévoilé son programme des contrôles de l’année et annonce réaliser entre 400 et 450 contrôles sur place, sur audition, sur pièces et en ligne.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 7483
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 6649
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 5214
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Action en contrefaçon de droit d’auteur et preuve de la qualité d’auteur
16 novembre 2018 - Vu : 4698
La recevabilité de l’action en contrefaçon de droit d’auteur est subordonnée à la preuve de la qualité d’auteur ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©