{"id":8890,"date":"2021-02-24T14:18:06","date_gmt":"2021-02-24T13:18:06","guid":{"rendered":"https:\/\/www.agilit.law\/?p=8890"},"modified":"2021-10-27T00:15:23","modified_gmt":"2021-10-26T22:15:23","slug":"quest-ce-que-le-credential-stuffing-et-comment-sen-premunir","status":"publish","type":"post","link":"https:\/\/www.agilit.law\/en\/droit-technologie-et-informations-donnees-personnelles\/quest-ce-que-le-credential-stuffing-et-comment-sen-premunir\/","title":{"rendered":"QU\u2019EST-CE QUE LE CREDENTIAL STUFFING ET COMMENT S\u2019EN PREMUNIR ?"},"content":{"rendered":"<p>Il y a quelques temps, <a href=\"https:\/\/www.agilit.law\/?p=8853&amp;preview=true\" target=\"_blank\" rel=\"noopener\">nous d\u00e9cryptions une sanction prononc\u00e9e par la formation restreinte de la CNIL<\/a> \u00e0 l&#8217;encontre d&#8217;un responsable du traitement et de son sous-traitant<strong> pour ne pas avoir pris les mesures de s\u00e9curit\u00e9 suffisantes dans le cadre d&#8217;attaques de type <em>credential stuffing<\/em>.<\/strong> Mais en quoi consistent exactement ces attaques et quelles mesures prendre pour y r\u00e9agir au mieux et en r\u00e9duire le risque ?<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2><strong>CREDENTIAL STUFFING ?<\/strong><\/h2>\n<p><strong>Le <em>credential stuffing<\/em> (ou bourrage d\u2019identifiants)<\/strong> est un type d\u2019attaque informatique qui consiste \u00e0 r\u00e9aliser des <strong>tentatives d\u2019authentification massives<\/strong> sur des sites et services web \u00e0 partir de <strong>couples identifiant \/ mot de passe<\/strong>, le plus souvent par le biais de robots.<\/p>\n<p>Cette cat\u00e9gorie d\u2019attaques est rendue possible par la conjonction de deux facteurs tr\u00e8s courants\u00a0:<\/p>\n<ul>\n<li>l\u2019identifiant d\u2019un utilisateur correspond fr\u00e9quemment \u00e0 son adresse \u00e9lectronique ; et<\/li>\n<li><strong>les utilisateurs se servent souvent des m\u00eames couples identifiant \/ mot de passe sur plusieurs sites.<\/strong><\/li>\n<\/ul>\n<p>A la suite de violations de donn\u00e9es, des centaines de millions de tels couples se retrouvent disponibles sur le <em>dark web<\/em>. <strong>Les couples identifiant \/ mot de passe peuvent alors \u00eatre r\u00e9utilis\u00e9s pour des tentatives d\u2019authentification et mener \u00e0 de nouvelles violations de donn\u00e9es.<\/strong><\/p>\n<p>Concr\u00e8tement, une premi\u00e8re violation de donn\u00e9es a pour cons\u00e9quence la disponibilit\u00e9 de couples identifiant \/ mot de passe sur le <em>dark web<\/em>, ce qui peut mener \u00e0 une seconde violation de donn\u00e9es par le biais du <em>credential stuffing<\/em>.<\/p>\n<p>Le <em>credential stuffing<\/em> se rapproche des <strong>attaques par force brute<\/strong> (<em>bruteforce attacks<\/em> ou <em>credential cracking<\/em>). L\u2019objectif est le m\u00eame\u00a0: acc\u00e9der \u00e0 un compte utilisateur de mani\u00e8re frauduleuse. Cependant, la m\u00e9thode utilis\u00e9e diff\u00e8re. Dans le cas des attaques par force brute, des outils automatis\u00e9s de craquage de mots de passe testent un grand nombre de valeurs diff\u00e9rentes \u00e0 partir de \u00ab\u00a0dictionnaires\u00a0\u00bb ou en utilisant les mots de passe les plus simples. <strong>Pour le <em>credential stuffing,<\/em> les attaquants r\u00e9utilisent des couples identifiant \/ mot de passe existants <\/strong>utilis\u00e9s pour la connexion \u00e0 d\u2019autres comptes.<\/p>\n<p><strong>Le but de ces attaques est d\u2019acc\u00e9der aux donn\u00e9es prot\u00e9g\u00e9es des espaces authentifi\u00e9s,<\/strong> notamment les <strong>coordonn\u00e9es bancaires<\/strong> afin d\u2019effectuer ensuite des transactions frauduleuses.<\/p>\n<p>Les attaquants peuvent \u00e9galement <strong>bloquer l\u2019acc\u00e8s des comptes aux utilisateurs l\u00e9gitimes<\/strong> ou encore revendre les donn\u00e9es \u00e0 caract\u00e8re personnel auxquelles ils auront eu acc\u00e8s sur le <em>dark web.<\/em><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2><strong>REDUIRE LES RISQUES D&#8217;ATTAQUES<\/strong><\/h2>\n<p>La mise en place de <strong>l\u2019authentification multifactorielle<\/strong>, c\u2019est-\u00e0-dire la n\u00e9cessit\u00e9 pour l\u2019utilisateur de fournir une information en plus de l\u2019identifiant et du mot de passe, qui n\u2019est pas stock\u00e9e par le site internet visit\u00e9 (envoi d\u2019un code par mail ou sms par exemple), permet de limiter la possibilit\u00e9 d\u2019attaques par <em>credential stuffing<\/em>.<\/p>\n<p>Par ailleurs, le d\u00e9ploiement d\u2019une <strong>solution anti-bot intelligente<\/strong> qui utilise l\u2019apprentissage automatique<strong> permet d\u2019identifier et de bloquer les comportements abusifs dus aux robots.<\/strong><\/p>\n<p>En l\u2019absence d\u2019une telle solution, il est utile de mettre en place l\u2019utilisation de <strong>CAPTCHA<\/strong> au moment de l&#8217;authentification ou la limitation du nombre de tentatives de connexion provenant de la m\u00eame adresse IP sur un laps de temps d\u00e9termin\u00e9.<\/p>\n<p><strong>Du c\u00f4t\u00e9 utilisateur, il est vivement recommand\u00e9 de ne jamais utiliser le m\u00eame mot de passe pour s\u2019authentifier sur diff\u00e9rents sites internet<\/strong> (et <em>a minima<\/em> de changer son mot de passe en cas de signalement de violation de donn\u00e9es).<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2><strong>REAGIR EN CAS D&#8217;ATTAQUE<\/strong><\/h2>\n<p>En cas d&#8217;attaque de ce type, <a href=\"https:\/\/www.cnil.fr\/fr\/la-violation-du-trimestre-attaque-par-credential-stuffing-sur-un-site-web\" target=\"_blank\" rel=\"noopener\">la CNIL recommande<\/a> d\u2019organiser une <strong>cellule de crise<\/strong> afin d\u2019en g\u00e9rer au mieux les cons\u00e9quences.<\/p>\n<p>Cette cellule r\u00e9unit notamment le directeur des syst\u00e8mes d\u2019information (DSI), le responsable de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information (RSSI), la direction des risques, le d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPO) et les prestataires sp\u00e9cialis\u00e9s dans les syst\u00e8mes d\u2019information concern\u00e9s.<\/p>\n<p>La CNIL pr\u00e9conise \u00e9galement<strong> d\u2019analyser les journaux d\u2019acc\u00e8s afin de d\u00e9tecter les actions suspectes<\/strong> comme un volume de trafic \u00e9lev\u00e9 avec un faible taux de r\u00e9ussite de connexion, une activit\u00e9 en dehors des heures habituelles, des pics de trafic extr\u00eames ou encore une r\u00e9partition g\u00e9ographique des adresses IP qui sort de l\u2019ordinaire.<\/p>\n<p><strong>Une telle analyse permettra de d\u00e9terminer comment contrer au mieux l\u2019attaque<\/strong>, notamment en limitant tout ou partie du volume du trafic en fonction des \u00e9l\u00e9ments identifi\u00e9s comme suspects (adresses IP, identifiants utilis\u00e9s, etc).<\/p>\n<p><strong>L\u2019envoi d\u2019une alerte aux utilisateurs<\/strong> leur permet de suspendre imm\u00e9diatement leur compte et de changer leur mot de passe s\u2019ils ne sont pas \u00e0 l\u2019origine de la connexion.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2><strong>DEPOSER PLAINTE<\/strong><\/h2>\n<p><strong>La soci\u00e9t\u00e9 qui g\u00e8re le site victime de l\u2019attaque<\/strong>, mais aussi la personne dont les coordonn\u00e9es sont \u00ab usurp\u00e9es \u00bb, peuvent d\u00e9poser plainte :<\/p>\n<p>&nbsp;<\/p>\n<h4><strong>Pourquoi d\u00e9poser plainte\u00a0? <\/strong><\/h4>\n<p>Parce que c\u2019est utile. <a href=\"https:\/\/www.lemonde.fr\/societe\/article\/2019\/12\/24\/cybercriminalite-beaucoup-de-victimes-se-disent-qu-il-est-inutile-de-porter-plainte_6023949_3224.html\" target=\"_blank\" rel=\"noopener\">Pour Alice Ch\u00e9rif<\/a>, vice-procureure et encore tout r\u00e9cemment cheffe de la section J3 du Parquet de Paris d\u00e9di\u00e9e \u00e0 la lutte contre la cybercriminalit\u00e9 (maintenant dirig\u00e9e par Johanna Brousse), <em>\u00ab\u00a0beaucoup de victimes se disent qu\u2019il est inutile de porter plainte, qu\u2019il n\u2019y aura pas d\u2019enqu\u00eate parce que le pr\u00e9judice (\u2026) est faible, et que \u00e7a ne sert \u00e0 rien parce que les pirates informatiques ne sont jamais arr\u00eat\u00e9s. Mais si, ils sont arr\u00eat\u00e9s\u00a0\u00bb.<\/em><\/p>\n<p>&nbsp;<\/p>\n<h4><strong>O\u00f9 d\u00e9poser plainte\u00a0? <\/strong><\/h4>\n<ul>\n<li>aupr\u00e8s du commissariat ou de la gendarmerie la plus proche ; ou<\/li>\n<li>directement aupr\u00e8s du procureur de la R\u00e9publique territorialement comp\u00e9tent.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h4><strong>Sur quels fondements\u00a0? <\/strong><\/h4>\n<ul>\n<li><strong>L\u2019atteinte \u00e0 un syst\u00e8me de traitement de donn\u00e9es (STAD)<\/strong><\/li>\n<\/ul>\n<p>Le <em>credential stuffing<\/em> peut s\u2019analyser comme une atteinte \u00e0 un STAD pr\u00e9vue aux articles 323-1 \u00e0 323-8 du code p\u00e9nal (acc\u00e8s ou maintien frauduleux dans un STAD, entrave au bon fonctionnement d\u2019un STAD et extraction de donn\u00e9es notamment).<\/p>\n<p>Les sanctions peuvent aller de 2 ans \u00e0 5 ans d\u2019emprisonnement et de 60\u00a0000 euros \u00e0 150\u00a0000 euros d\u2019amende en fonction de la ou des qualifications retenues.<\/p>\n<p>Si l\u2019attaque par <em>credential stuffing<\/em> n\u2019aboutit pas, la tentative peut quand m\u00eame \u00eatre caract\u00e9ris\u00e9e et peut ainsi fonder une plainte. En effet, <a href=\"https:\/\/www.legifrance.gouv.fr\/codes\/article_lc\/LEGIARTI000006418329\" target=\"_blank\" rel=\"noopener\">en mati\u00e8re d\u2019atteinte aux STAD, la tentative est punie des m\u00eames peines que l\u2019atteinte elle-m\u00eame<\/a>.<\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li><strong>L\u2019usurpation d\u2019identit\u00e9 <\/strong><\/li>\n<\/ul>\n<p>L\u2019utilisateur dont l\u2019espace authentifi\u00e9 est viol\u00e9 ou dont les donn\u00e9es sont r\u00e9cup\u00e9r\u00e9es peut \u00e9galement envisager le d\u00e9p\u00f4t d\u2019une plainte, en se fondant sur l\u2019usurpation d\u2019identit\u00e9 d\u00e9finie comme <em>\u00ab Le fait d&#8217;usurper l&#8217;identit\u00e9 d&#8217;un tiers ou de faire usage d&#8217;une ou plusieurs donn\u00e9es de toute nature permettant de l&#8217;identifier en vue de troubler sa tranquillit\u00e9 ou celle d&#8217;autrui, ou de porter atteinte \u00e0 son honneur ou \u00e0 sa consid\u00e9ration \u00bb<\/em> (<a href=\"https:\/\/www.legifrance.gouv.fr\/codes\/article_lc\/LEGIARTI000042193593\/#:~:text=Le%20fait%20d'usurper%20l,15%20000%20%E2%82%AC%20d'amende\" target=\"_blank\" rel=\"noopener\">voir article 226-4-1 du code p\u00e9nal<\/a>). Ce d\u00e9lit peut \u00eatre puni jusqu\u2019\u00e0 1 an d&#8217;emprisonnement et 15 000 euros d&#8217;amende. Il se caract\u00e9rise par le simple fait de se faire passer pour autrui. Le r\u00e9sultat de l\u2019usurpation ne figure pas parmi les \u00e9l\u00e9ments constitutifs de l\u2019infraction.<\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li><strong>L\u2019escroquerie<\/strong><\/li>\n<\/ul>\n<p>En fonction des faits, l\u2019escroquerie peut \u00e9galement \u00eatre envisag\u00e9e. L\u2019article 313-1 du Code p\u00e9nal d\u00e9finit l\u2019escroquerie comme <em>\u00ab le fait, soit par l\u2019usage d\u2019un faux nom ou d\u2019une fausse qualit\u00e9, soit par l\u2019abus d\u2019une qualit\u00e9 vraie, soit par l\u2019emploi de man\u0153uvres frauduleuses, de tromper une personne physique ou morale et de la d\u00e9terminer ainsi, \u00e0 son pr\u00e9judice ou au pr\u00e9judice d\u2019un tiers, \u00e0 remettre des fonds, des valeurs ou un bien quelconque, \u00e0 fournir un service ou \u00e0 consentir un acte op\u00e9rant obligation ou d\u00e9charge \u00bb<\/em>. L&#8217;escroquerie, ainsi que la tentative d&#8217;escroquerie, sont passibles de 5 ans d&#8217;emprisonnement et de 375 000 euros d&#8217;amende.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2><strong>SIGNALER LE COMPORTEMENT ILLICITE<\/strong><\/h2>\n<p><a href=\"https:\/\/www.internet-signalement.gouv.fr\/PortailWeb\/planets\/Accueil!input.action\" target=\"_blank\" rel=\"noopener\">La plateforme de signalement du gouvernement Pharos<\/a> permet d\u2019effectuer un signalement de contenu ou de comportement illicites directement en ligne.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2><strong>NOTIFIER LA CNIL DE LA VIOLATION DE DONNEES ET, LE CAS ECHEANT, INFORMER LES PERSONNES CONCERNEES <\/strong><\/h2>\n<p>En principe, <strong>toute violation entra\u00eene une obligation de notification \u00e0 l\u2019autorit\u00e9 de contr\u00f4le<\/strong> (en France, il s\u2019agit bien entendu de la CNIL). N\u00e9anmoins, lorsque le responsable du traitement estime que la violation n\u2019est pas susceptible d\u2019engendrer un risque pour les droits et libert\u00e9s des personnes physiques, par exemple dans le cas de la divulgation de donn\u00e9es \u00e0 caract\u00e8re personnel d\u00e9j\u00e0 rendues publiques, il sera dispens\u00e9 de notification.<\/p>\n<p>Dans le cas contraire, le responsable du traitement doit notifier la violation de donn\u00e9es <strong>dans les 72 heures apr\u00e8s avoir pris connaissance de l\u2019incident<\/strong>. Toute notification au-del\u00e0 de ce d\u00e9lai devra \u00eatre accompagn\u00e9e des motifs du retard.<\/p>\n<p>Qui plus est, dans l&#8217;hypoth\u00e8se o\u00f9 la violation de donn\u00e9es entra\u00eene<strong> un risque \u00e9lev\u00e9 pour les personnes concern\u00e9es<\/strong>, le responsable du traitement doit les en <strong>informer dans les plus brefs d\u00e9lais<\/strong> en application de l&#8217;article 34 du RGPD.<\/p>\n<p>Concernant le <em>credential stuffing<\/em>, et comme vu plus haut, une double violation de donn\u00e9es pourrait \u00eatre caract\u00e9ris\u00e9e\u00a0:<\/p>\n<ul>\n<li>celle ayant conduit \u00e0 la disponibilit\u00e9 des identifiants \/ mots de passe ;<\/li>\n<li>celle pouvant r\u00e9sulter des tentatives d\u2019authentification via ces identifiants \/ mots de passe et pouvant mener \u00e0 de nouvelles violations de donn\u00e9es.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p style=\"text-align: center;\">*\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0*<\/p>\n<p style=\"text-align: center;\">*<\/p>\n<p>&nbsp;<\/p>\n<p><em>Le P\u00f4le \u00ab IT, Cybercriminalit\u00e9 &amp; data protection \u00bb d\u2019AGIL\u2019IT se tient \u00e0 votre disposition pour vous accompagner dans la pr\u00e9vention du risque cyber et notamment du Credential Stuffing et en vue d\u2019une mise et\/ou d\u2019un maintien en conformit\u00e9 de vos pratiques au regard de la r\u00e8glementation applicable en mati\u00e8re de protection des donn\u00e9es \u00e0 caract\u00e8re personnel.<\/em><\/p>\n<p>&nbsp;<\/p>\n<p>Par\u00a0<a href=\"https:\/\/www.agilit.law\/\" target=\"_blank\" rel=\"noopener\">AGIL\u2019IT<\/a>\u00a0\u2013 P\u00f4le\u00a0<a href=\"https:\/\/www.agilit.law\/expertises\/technologies-de-linformation-donnees-personnelles\/\" target=\"_blank\" rel=\"noopener\">IT<\/a>,\u00a0<a href=\"https:\/\/www.agilit.law\/expertises\/telecommunications\/\" target=\"_blank\" rel=\"noopener\">T\u00e9l\u00e9coms<\/a>\u00a0&amp;<a href=\"https:\/\/www.agilit.law\/expertises\/donnees-a-caractere-personnel\/\" target=\"_blank\" rel=\"noopener\">\u00a0Data protection<\/a><\/p>\n<p><a href=\"https:\/\/www.agilit.law\/cabinet\/equipe\/sylvie-jonas\/\" target=\"_blank\" rel=\"noopener\">Sylvie JONAS<\/a>, Avocate associ\u00e9e<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il y a quelques temps, nous d\u00e9cryptions une sanction prononc\u00e9e par la formation restreinte de la CNIL \u00e0 l&#8217;encontre d&#8217;un responsable du traitement et de son sous-traitant pour ne pas avoir pris les mesures de s\u00e9curit\u00e9 suffisantes dans le cadre d&#8217;attaques de type credential stuffing. Mais en quoi consistent exactement ces attaques et quelles mesures&hellip;<\/p>\n","protected":false},"author":13,"featured_media":8602,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[147,73],"tags":[],"coauthors":[99],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.3 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>QU\u2019EST-CE QUE LE CREDENTIAL STUFFING ET COMMENT S\u2019EN PREMUNIR ? - AGIL&#039;IT<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/quest-ce-que-le-credential-stuffing-et-comment-sen-premunir\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"QU\u2019EST-CE QUE LE CREDENTIAL STUFFING ET COMMENT S\u2019EN PREMUNIR ? - AGIL&#039;IT\" \/>\n<meta property=\"og:description\" content=\"Il y a quelques temps, nous d\u00e9cryptions une sanction prononc\u00e9e par la formation restreinte de la CNIL \u00e0 l&#8217;encontre d&#8217;un responsable du traitement et de son sous-traitant pour ne pas avoir pris les mesures de s\u00e9curit\u00e9 suffisantes dans le cadre d&#8217;attaques de type credential stuffing. Mais en quoi consistent exactement ces attaques et quelles mesures&hellip;\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/quest-ce-que-le-credential-stuffing-et-comment-sen-premunir\/\" \/>\n<meta property=\"og:site_name\" content=\"AGIL&#039;IT\" \/>\n<meta property=\"article:published_time\" content=\"2021-02-24T13:18:06+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2021-10-26T22:15:23+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.agilit.law\/wp-content\/uploads\/2020\/12\/thumbnail.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1500\" \/>\n\t<meta property=\"og:image:height\" content=\"813\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Sylvie JONAS\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Sylvie JONAS\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"7 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/quest-ce-que-le-credential-stuffing-et-comment-sen-premunir\/\",\"url\":\"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/quest-ce-que-le-credential-stuffing-et-comment-sen-premunir\/\",\"name\":\"QU\u2019EST-CE QUE LE CREDENTIAL STUFFING ET COMMENT S\u2019EN PREMUNIR ? - AGIL&#039;IT\",\"isPartOf\":{\"@id\":\"https:\/\/www.agilit.law\/#website\"},\"datePublished\":\"2021-02-24T13:18:06+00:00\",\"dateModified\":\"2021-10-26T22:15:23+00:00\",\"author\":{\"@id\":\"https:\/\/www.agilit.law\/#\/schema\/person\/3c2aff137e0c93d643fa9ea0a0036f9c\"},\"breadcrumb\":{\"@id\":\"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/quest-ce-que-le-credential-stuffing-et-comment-sen-premunir\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/quest-ce-que-le-credential-stuffing-et-comment-sen-premunir\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/quest-ce-que-le-credential-stuffing-et-comment-sen-premunir\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Accueil\",\"item\":\"https:\/\/www.agilit.law\/en\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"QU\u2019EST-CE QUE LE CREDENTIAL STUFFING ET COMMENT S\u2019EN PREMUNIR ?\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.agilit.law\/#website\",\"url\":\"https:\/\/www.agilit.law\/\",\"name\":\"AGIL&#039;IT\",\"description\":\"Make things simple\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.agilit.law\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.agilit.law\/#\/schema\/person\/3c2aff137e0c93d643fa9ea0a0036f9c\",\"name\":\"Sylvie JONAS\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.agilit.law\/#\/schema\/person\/image\/6bcd277be005faec539f89eb887063dd\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/62864e6853bc3f79a4edd67268d7c87b?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/62864e6853bc3f79a4edd67268d7c87b?s=96&d=mm&r=g\",\"caption\":\"Sylvie JONAS\"},\"url\":\"https:\/\/www.agilit.law\/en\/author\/sylvie\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"QU\u2019EST-CE QUE LE CREDENTIAL STUFFING ET COMMENT S\u2019EN PREMUNIR ? - AGIL&#039;IT","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/quest-ce-que-le-credential-stuffing-et-comment-sen-premunir\/","og_locale":"en_US","og_type":"article","og_title":"QU\u2019EST-CE QUE LE CREDENTIAL STUFFING ET COMMENT S\u2019EN PREMUNIR ? - AGIL&#039;IT","og_description":"Il y a quelques temps, nous d\u00e9cryptions une sanction prononc\u00e9e par la formation restreinte de la CNIL \u00e0 l&#8217;encontre d&#8217;un responsable du traitement et de son sous-traitant pour ne pas avoir pris les mesures de s\u00e9curit\u00e9 suffisantes dans le cadre d&#8217;attaques de type credential stuffing. Mais en quoi consistent exactement ces attaques et quelles mesures&hellip;","og_url":"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/quest-ce-que-le-credential-stuffing-et-comment-sen-premunir\/","og_site_name":"AGIL&#039;IT","article_published_time":"2021-02-24T13:18:06+00:00","article_modified_time":"2021-10-26T22:15:23+00:00","og_image":[{"width":1500,"height":813,"url":"https:\/\/www.agilit.law\/wp-content\/uploads\/2020\/12\/thumbnail.jpg","type":"image\/jpeg"}],"author":"Sylvie JONAS","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Sylvie JONAS","Est. reading time":"7 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/quest-ce-que-le-credential-stuffing-et-comment-sen-premunir\/","url":"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/quest-ce-que-le-credential-stuffing-et-comment-sen-premunir\/","name":"QU\u2019EST-CE QUE LE CREDENTIAL STUFFING ET COMMENT S\u2019EN PREMUNIR ? - AGIL&#039;IT","isPartOf":{"@id":"https:\/\/www.agilit.law\/#website"},"datePublished":"2021-02-24T13:18:06+00:00","dateModified":"2021-10-26T22:15:23+00:00","author":{"@id":"https:\/\/www.agilit.law\/#\/schema\/person\/3c2aff137e0c93d643fa9ea0a0036f9c"},"breadcrumb":{"@id":"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/quest-ce-que-le-credential-stuffing-et-comment-sen-premunir\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/quest-ce-que-le-credential-stuffing-et-comment-sen-premunir\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.agilit.law\/droit-technologie-et-informations-donnees-personnelles\/quest-ce-que-le-credential-stuffing-et-comment-sen-premunir\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Accueil","item":"https:\/\/www.agilit.law\/en\/"},{"@type":"ListItem","position":2,"name":"QU\u2019EST-CE QUE LE CREDENTIAL STUFFING ET COMMENT S\u2019EN PREMUNIR ?"}]},{"@type":"WebSite","@id":"https:\/\/www.agilit.law\/#website","url":"https:\/\/www.agilit.law\/","name":"AGIL&#039;IT","description":"Make things simple","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.agilit.law\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"},{"@type":"Person","@id":"https:\/\/www.agilit.law\/#\/schema\/person\/3c2aff137e0c93d643fa9ea0a0036f9c","name":"Sylvie JONAS","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.agilit.law\/#\/schema\/person\/image\/6bcd277be005faec539f89eb887063dd","url":"https:\/\/secure.gravatar.com\/avatar\/62864e6853bc3f79a4edd67268d7c87b?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/62864e6853bc3f79a4edd67268d7c87b?s=96&d=mm&r=g","caption":"Sylvie JONAS"},"url":"https:\/\/www.agilit.law\/en\/author\/sylvie\/"}]}},"_links":{"self":[{"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/posts\/8890"}],"collection":[{"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/comments?post=8890"}],"version-history":[{"count":31,"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/posts\/8890\/revisions"}],"predecessor-version":[{"id":9285,"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/posts\/8890\/revisions\/9285"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/media\/8602"}],"wp:attachment":[{"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/media?parent=8890"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/categories?post=8890"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/tags?post=8890"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.agilit.law\/en\/wp-json\/wp\/v2\/coauthors?post=8890"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}