Les attaques par bourrage d’identifiants, ou credential stuffing, représentent une menace sérieuse pour les sites web avec espace authentifié. Ces attaques, qui exploitent des listes d’identifiants et mots de passe volés, peuvent entraîner des violations de données personnelles, affectant à la fois les entreprises et les utilisateurs. La CNIL a récemment sanctionné un responsable de traitement pour ne pas avoir mis en place des mesures adéquates face à ces attaques, soulignant l’importance de la sécurité des données. Des solutions comme la limitation des requêtes par adresse IP et l’implémentation de CAPTCHA sont essentielles pour prévenir de telles intrusions.. Consulter la source documentaire.

Qu’est-ce que le credential stuffing ?

Le credential stuffing, ou bourrage d’identifiants, est une technique d’attaque informatique qui cible principalement les sites web disposant d’un espace authentifié, comme les plateformes de e-commerce.

Cette attaque se caractérise par une affluence soudaine et massive de requêtes envoyées aux serveurs d’authentification.

Les attaquants exploitent des listes d’identifiants et de mots de passe récupérées lors de violations de données, en tentant de se connecter à de nombreux comptes en utilisant des « robots ».

Lorsque l’authentification réussit, l’attaquant peut accéder à des informations sensibles des utilisateurs, ce qui peut entraîner des conséquences graves tant pour les entreprises que pour les clients.

Quelles sont les sanctions imposées par la CNIL ?

La CNIL a récemment infligé des amendes de 150 000 euros et 75 000 euros à un responsable de traitement et à son sous-traitant pour ne pas avoir pris de mesures adéquates contre les attaques par credential stuffing.

Entre juin 2018 et janvier 2020, la CNIL a reçu de nombreuses notifications de violations de données personnelles liées à un site internet utilisé par des millions de clients.

Des contrôles ont été menés, révélant que le site avait subi plusieurs vagues d’attaques.

Les informations compromises incluaient des données personnelles telles que le nom, l’adresse courriel et des informations de commande, ce qui a conduit à des sanctions pour manquement à la sécurité des données.

Quelles mesures de sécurité ont été jugées insuffisantes ?

La CNIL a constaté que les sociétés concernées n’avaient pas respecté leur obligation de sécurité des données personnelles, comme stipulé par l’article 32 du RGPD.

Elles ont tardé à mettre en place des mesures efficaces pour contrer les attaques, se concentrant sur le développement d’un outil de détection des robots, qui a pris un an à être opérationnel.

Pendant ce temps, d’autres mesures plus rapides auraient pu être mises en œuvre, telles que la limitation du nombre de requêtes par adresse IP ou l’implémentation d’un CAPTCHA dès la première tentative d’authentification.

Ce manque de réactivité a permis à des attaquants d’accéder aux données de 40 000 clients.

Quelle est la responsabilité en chaîne dans la gestion des données ?

La responsabilité en chaîne implique que le responsable de traitement doit non seulement mettre en place des mesures de sécurité, mais aussi donner des instructions claires à son sous-traitant.

Le sous-traitant, de son côté, doit rechercher et proposer des solutions techniques et organisationnelles adaptées pour garantir la sécurité des données personnelles.

Cette collaboration est essentielle pour assurer une protection efficace contre les violations de données.

En cas de manquement, les deux parties peuvent être tenues responsables des conséquences de ces violations.

Comment notifier une violation de données à la CNIL ?

En cas d’accès non autorisé à des données personnelles, le responsable de traitement doit suivre des procédures strictes.

Il doit d’abord enregistrer la violation dans son registre des violations, puis notifier la CNIL dans un délai de 72 heures, conformément à l’article 33 du RGPD.

Il est également conseillé de déposer une plainte auprès des autorités compétentes, comme la police ou la gendarmerie.

Pour faciliter l’enquête, le responsable doit disposer de toutes les informations techniques pertinentes, y compris les journaux d’accès.

Quelles mesures peuvent être prises pour prévenir les futures attaques ?

Pour se prémunir contre les attaques de type credential stuffing, la CNIL recommande l’utilisation de l’authentification multifacteur.

Cette méthode renforce la sécurité des comptes en ajoutant une couche supplémentaire de protection, comme l’envoi d’un code à usage unique par SMS.

De telles mesures peuvent aider à éviter des violations de données significatives et à protéger la confidentialité des informations des clients.

Il est également crucial pour les équipes de sécurité de rester vigilantes et d’adapter leurs défenses en fonction des nouvelles méthodes utilisées par les attaquants.

Des mesures comme l’implémentation d’un CAPTCHA ou l’utilisation d’identifiants non basés sur l’adresse courriel de l’utilisateur peuvent également réduire le risque d’attaques réussies.