Le contexte de l’affaire
Le 27 janvier 2021, la CNIL, en formation restreinte, a sanctionné respectivement, à hauteur de 150 000 et 75 000 euros, un responsable de traitement et son sous-traitant pour avoir manqué à leur obligation de préserver la sécurité des données de leurs clients sur le site internet du responsable de traitement. Les mesures mises en place par les sociétés concernées ont été jugées insuffisantes au regard de l’article 32 du Règlement Général sur la Protection des Données (RGPD).
C’est suite à plusieurs notifications de violation de données intervenues entre 2008 et 2020 que la CNIL est intervenue.
Le « credential stuffing »
Suite à ses investigations, la CNIL a constaté que les techniques examinées ne permettaient pas la protection du site en question contre les attaques de « credential stuffing » (cyberattaques par bourrage d’identifiants). Cette pratique consiste, pour une personne, à récupérer des listes d’identifiants et de mots de passe « en clair » sur Internet (suite à une violation de données) pour tenter d’accéder, sans autorisation, à un site.
L’objectif n’est pas de « casser » le mot de passe en question mais d’utiliser de multiples paires d’identifiants et mots de passe découverts afin d’accéder à des comptes privés.
Les utilisateurs choisissant souvent les mêmes identifiants et mots de passe sur différents services, le pirate peut aisément essayer ces identifiants sur différents services via un robot.
En l’espèce, différentes données ont été rendues accessibles telles que : les noms, prénoms, adresses courriel, dates de naissance, numéros et soldes de cartes de fidélité mais également des informations relatives aux commandes.
La stratégie initiale adoptée par le responsable de traitement
Selon le communiqué de la CNIL, les sociétés en question auraient tardé à mettre en place des mesures suffisantes permettant une protection efficace contre ce type d’attaque. Ces dernières auraient avant tout viser la création d’un outil pour conter les attaques lancées à partir de robot alors que, selon l’autorité, d’autres mesures plus simples auraient pu être mises en place telles que :
Sur la répartition des responsabilités
La CNIL rappelle à ce titre que le responsable de traitement doit décider de la mise en place de telles mesures et en donner les instructions documentées à son sous-traitant. Toutefois, ce dernier n’est pas déchargé de toute responsabilité puisque le responsable de traitement est en droit d’exiger de lui qu’il lui fournisse les conseils les plus adaptés, ou qu’il recherche des solutions techniques et organisationnelles les plus appropriées afin d’assurer la sécurité des données.
Les préconisations de la CNIL
Dans son communiqué, l’autorité a profité de l’occasion pour donner un certain nombre de préconisations, à la fois d’ordre préventif et d’ordre curatif, afin de limiter l’impact de ces cyberattaques.
S’agissant du volet préventif, la CNIL, outre les mesures suscitées, préconise l’utilisation d’une connexion multi facteur ou encore l’utilisation d’un couple d’identifiants dont l’identifiant n’est pas basé sur l’adresse courriel de l’utilisateur.
S’agissant cette fois-ci du volet curatif, la compréhension de l’origine de l’attaque passerait avant tout par l’organisation d’une cellule de crise tout en procédant à une analyse des loges. L’information des personnes concernées en leur permettant la suspension immédiate du compte ainsi que la notification à l’autorité sont également de rigueur.
Par Cynthia Picart et Laurane Farrugia
21/03/21