Une sanction de la CNIL pour protection insuffisante contre le « credential stuffing »

CNIL, Décision du 27 janvier 2021

La CNIL rappelle que la sécurisation des données personnelles (article 32 du RGPD) est et demeure un sujet d’actualité. Dans sa décision du 27 janvier 2021, l’autorité sanctionne ainsi un responsable du traitement et son sous-traitant pour ne pas avoir mis en place des mesures suffisantes contre le « credential stuffing ». En publiant son commentaire de cette décision, la CNIL souhaite alerter les autres acteurs sur les dangers de cette pratique et sur les condamnations qu’ils risquent. 

La CNIL est particulièrement active en ce moment, ainsi qu’en atteste sa nouvelle condamnation du 27 janvier dernier contre deux sociétés (le responsable du traitement et son sous-traitant).

Contrairement à des décisions précédentes, les amendes prononcées ne sont cependant pas particulièrement élevées : 150 000 euros pour le responsable de traitement et 75 000 euros pour son sous-traitant. Rien à voir donc avec les amendes prononcées contre Google et Amazon en décembre dernier.

On ne connaît d’ailleurs pas l’identité des deux sociétés condamnées, la formation restreinte de la CNIL qui a prononcé la condamnation n’a pas décidé de rendre la décision publique. Seul un communiqué sur cette décision a été publié.

Pourtant, cette décision du 27 janvier apparaît intéressante notamment car elle a pour thème la sécurisation des données personnelles, thématique parfois sous-estimée par les acteurs.

Plus particulièrement, la CNIL a sanctionné les sociétés pour défaut de sécurisation contre le credential stuffing.

Le credential stuffing ou bourrage d’identifiants est un type de cyberattaque qui consiste à utiliser des informations de comptes volés (identifiants et mots de passe) et regroupés dans des listes pour tenter d’accéder sans autorisation à un site donné. En d’autres termes, contrairement à l’attaque dite par bruteforce, le credential stuffing ne cherche pas à « casser » le mot de passe d’un compte mais à utiliser des millions de paires d’identifiants/mots de passe déjà découverts et ce afin d’accéder à des comptes privés.

En réalité, le hacker se sert donc du défaut de précaution des clients qui utilisent les mêmes identifiants/mots de passe pour des services différents afin de mener à bien son attaque.

En l’espèce, la CNIL est intervenue auprès du responsable de traitement après avoir reçu plusieurs dizaines de notifications de violation de données en lien avec son site internet entre juin 2018 et janvier 2020. Après investigation, la CNIL a découvert que la société avait ainsi été victime de plusieurs vagues de credential stuffing.

Les attaquants ont ainsi pu prendre connaissance de nombreuses informations : nom, prénom, adresse courriel et date de naissance des clients, mais également numéro et solde de leur carte de fidélité et des informations liées à leurs commandes.

Or, d’après la CNIL les deux sociétés n’ont pas pris les mesures nécessaires pour lutter efficacement contre ce type d’attaque, cherchant à créer un outil pour contrer les attaques lancées à partir de robots alors que d’autres mesures plus simples auraient pu être mises en place comme :

  • La limitation du nombre de requêtes par adresse IP ;
  • L’utilisation d’un CAPTCHA – ces « tests » qui vous demandent de rentrer un code pour vérifier que vous n’êtes pas un robot.

C’est cet immobilisme qui a sans doute été sanctionné par la CNIL qui a donc considéré que la violation de l’article 32 du RGPD, relative à la sécurisation des données personnelles, était caractérisée.

Par ailleurs, il semble que la CNIL tienne particulièrement à alerter les entreprises sur les dangers du credential stuffing ainsi qu’en atteste la fiche qu’elle a publiée le 12 janvier dernier et qui a pour titre : La violation du trimestre : attaque par credential stuffing sur un site web.

Dans cette fiche, la CNIL rappelle notamment les différentes étapes à suivre en cas de cyberattaque et préconise également des mesures pour diminuer les risques de credential stuffing :

  • L’authentification à plusieurs facteurs (ex : envoi d’un SMS) ;
  • Un couple identifiant/mot de passe où l’identifiant n’est pas l’adresse mail.

En tout état de cause, la décision du 27 janvier rappelle si c’était nécessaire l’importance à attacher à la cybersécurité alors même qu’on a vu dernièrement que même les experts en cybersécurité peuvent se trouver en position de victimes.

A rapprocher : Décision de la CNIL du 27 janvier 2021 ; Définition du credential stuffing, Wikipedia ; Définition du bruteforce, Wikipedia ; Fiche de la CNIL sur la protection contre le credential stuffing du 12 janvier 2021

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…