Bourrage d'identifiants : deux sociétés sanctionnées
La Cnil sanctionne de 150.000 € et 75.000 € un responsable de traitement et son sous-traitant pour ne pas avoir pris de mesures satisfaisantes pour faire face à des attaques par "credential stuffing".Après avoir reçu plusieurs dizaines de notifications de violations de données personnelles, la Commission nationale de l'informatique et des libertés (Cnil) a constaté que le site web concerné, à partir duquel plusieurs millions de clients effectuent régulièrement des achats, avait subi de nombreuses vagues d’attaques de type "credential stuffing".
La Cnil sanctionne de 150.000 € et 75.000 € un responsable de traitement et son sous-traitant pour ne pas avoir pris de mesures satisfaisantes pour faire face à des attaques par « credential stuffing ».Après avoir reçu plusieurs dizaines de notifications de violations de données personnelles, la Commission nationale de l’informatique et des libertés (Cnil) a constaté que le site web concerné, à partir duquel plusieurs millions de clients effectuent régulièrement des achats, avait subi de nombreuses vagues d’attaques de type « credential stuffing ».
Il s’agit, au moyen de « robots », de tenter un grand nombre de connexions sur des sites à partir de listes d’identifiants et de mots de passe publiées sur internet. Les attaquants ont ainsi pu prendre connaissance des informations suivantes : nom, prénom, adresse courriel et date de naissance des clients, mais également numéro et solde de leur carte de fidélité et des informations liées à leurs commandes.
La formation restreinte de la Cnil a considéré que le responsable du traitement et de son sous-traitant avaient manqué à leur obligation de préserver la sécurité des données personnelles des clients, prévue par l’article 32 du règlement 2016/679 du 27 avril 2016 (RGPD).
En effet, les sociétés ont tardé à mettre en place des mesures permettant de lutter efficacement contre ces attaques répétées : elles avaient décidé de développer un outil permettant de détecter et de bloquer les attaques lancées à partir de robots, qui n’a été opérationnel qu’un an à compter des premières attaques.
Or, selon la Cnil, plusieurs autres mesures produisant des effets plus rapides auraient pu être envisagées, telles que :- la limitation du nombre de requêtes autorisées par adresse IP sur le site web, qui aurait pu permettre de freiner le rythme auquel les attaques étaient menées ;- l’apparition d’un CAPTCHA dès la première tentative d’authentification des utilisateurs à leur compte, très difficile à contourner pour un robot.Du fait de ce manque de diligence, les données d’environ 40.000 clients du site web ont été rendues accessibles à des tiers non autorisés entre mars 2018 et février 2019.
En conséquence, la formation restreinte prononce deux amendes distinctes : 150 000 € à l’encontre du responsable de traitement et 75.000 € à l’encontre du sous-traitant, au regard de leur responsabilité respective.