Dans un communiqué du 12 janvier dernier, la CNIL précisait sous forme de fiche pratique les risques et enjeux des attaques de sites internet par “bourrage d’identifiants” ou “credential stuffing”, présentées comme “LA violation de données à caractère personnel du trimestre”, et rappelait les mesures à prendre pour se protéger contre de telles attaques.
C’est dans ce contexte que la formation restreinte de la Cnil vient de sanctionner un responsable de traitement et son sous-traitant pour ne pas avoir pris des mesures de sécurité satisfaisantes dans le cadre d’attaques informatiques de ce type, en violation de l’article 32 du RGPD.
Dans cette affaire, à la suite de plusieurs dizaines de notifications de violation de données à caractère personnel réceptionnées entre juin 2018 et janvier 2020 au sujet d’un site internet de vente en ligne, la Cnil avait décidé de mener un contrôle auprès du responsable de traitement, éditeur du site internet, et de son sous-traitant, en charge de la gestion du site en question.
Dans le cadre de ce contrôle, la Cnil a pu constater que le site avait fait objet de nombreuses vagues d’attaques de type credential stuffing (ou bourrage d’identifiants). Les sanctions prononcées s’élèvent respectivement à 150 000 € à l’encontre du responsable de traitement et à 75 000 € à l’encontre de son sous-traitant.
LE CREDENTIAL STUFFING, QU’EST CE QUE C’EST ?
Cette catégorie d’attaques informatiques consiste à réaliser des tentatives d’authentification massives sur des sites et services web à partir de couples “identifiant/mot de passe”, la plupart du temps par le biais de robots.
Le credential stuffing est le plus souvent l’œuvre d’une personne malveillante qui récupère des listes de couples “identifiant/mot de passe” publiées en clair sur Internet à la suite d’une violation de données et est généralement permis par le fait que l’identifiant d’un utilisateur correspond fréquemment à son adresse électronique et que les utilisateurs se servent souvent des mêmes couples “identifiant/mot de passe” sur plusieurs sites.
Des centaines de millions de tels couples se retrouvent en effet disponibles notamment sur le dark web suite à des violations de données et peuvent être réutilisés pour des tentatives d’authentification.
L’INSUFFISANCE DES MESURES DE SECURITE
Dans l’affaire portée devant la formation restreinte de la Cnil, il est apparu que le responsable de traitement, éditeur du site internet concerné, avait -suite à de telles attaques- pris la décision de développer un outil permettant de détecter et de bloquer les attaques lancées à partie de robots, mais que le développement de cet outil avait pris un an à compter des premières attaques.
Par ailleurs, la Cnil dans son communiqué susvisé précise que la mise en place de mesures permettant de lutter efficacement contre ces attaques répétées a été trop tardive et que :
– d’autres mesures auraient pu (et dû !) être mises en œuvre durant cette période afin d’empêcher de nouvelles attaques ou d’en limiter les conséquences, par exemple la limitation du nombre de requêtes autorisées par adresse IP sur le site web ou encore l’implémentation d’un “captcha” sur la page d’authentification des utilisateurs dès la première tentative de connexion;
– le manque de diligence du responsable de traitement et de son sous-traitant a ainsi entrainé la divulgation des données d’environ 40 000 clients du site web entre mars 2018 et février 2019.
La formation restreinte de la Cnil a donc considéré que les deux sociétés avaient manqué à leur obligation de préserver la sécurité des données à caractère personnel des clients, prévue par l’article 32 du RGPD, et a décidé de condamner les deux sociétés précitées.
LA DOUBLE SANCTION PRONONCEE
Il résulte de ce qui précède que la formation restreinte de la Cnil a pris la décision de sanctionner le responsable de traitement et son sous-traitant, ce qui n’est pas si fréquent et a le mérite de permettre de rappeler que :
– s’il appartient au responsable de traitement de décider de la mise en place de mesures de sécurité et donner des instructions documentées à son sous-traitant en ce sens ;
– le sous-traitant doit également rechercher de son côté les solutions techniques et organisationnelles les plus appropriées pour assurer la sécurité des données à caractère personnel et les proposer au responsable de traitement.
La Cnil conclut en précisant que “La formation restreinte n’a pas décidé de rendre publiques ces délibérations. Néanmoins, elle souhaite communiquer sur ces décisions pour alerter les professionnels sur la nécessité de renforcer leur vigilance concernant les attaques par credential stuffing, et de développer, en lien avec leur sous-traitant, des mesures suffisantes pour garantir la protection des données personnelles“.
* *
*
Le Pôle « IT & data protection » d’AGIL’IT se tient à votre disposition pour vous accompagner en vue d’une mise et/ou d’un maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel.
Par AGIL’IT – Pôle IT, Data protection & Télécoms
Laure LANDES-GRONOWSKI, Avocate associée
