La CNIL a prononcé une amende de 150 000 euros, ainsi qu’une amende de 75 000 euros, respectivement à l’encontre d’un responsable du traitement et de son sous-traitant, pour défaut de sécurité des données.
La CNIL a, le 27 janvier 2021, publié un communiqué dans lequel elle indique avoir sanctionné un responsable du traitement et son sous-traitant, qui n’auraient pas pris les mesures suffisantes pour faire face à une attaque par bourrage d’identifiants (« credential stuffing ») sur le site internet du responsable du traitement. La CNIL souligne n’avoir pas souhaité rendre publique cette décision.
Les faits sont les suivants : entre juin 2018 et janvier 2020, la CNIL a reçu plusieurs dizaines de notifications de violations de données personnelles en lien avec un site internet de commerce électronique. Après investigations, la CNIL a établi que le site internet avait subi de nombreuses attaques de type « credential stuffing », qui consistent à réaliser, à l’aide d’un robot, un grand nombre de tentatives de connexion au moyen d’identifiants et de mots de passe accessibles sur internet, dont la publication résulte de violations de données antérieures.
La CNIL a estimé que les sociétés mises en cause avaient tardé à mettre en place des mesures permettant de lutter efficacement contre ces attaques répétées, préférant concentrer leur stratégie de réponse sur le développement d’un outil de détection et de blocage des attaques lancées à partir de robots.
Or, le développement de cet outil a pris un an à compter des premières attaques, alors que, selon la CNIL, d’autres mesures auraient pu être mises en œuvre dans l’intervalle :
- limiter le nombre de requêtes autorisées par adresse IP sur le site internet ;
- faire apparaitre un CAPTCHA dès la première tentative d’authentification d’un utilisateur à son compte.
Du fait de ce manque de diligence, qui constitue, pour la CNIL, un manquement à l’obligation de sécurité des données, les données d’environ 40 000 clients ont été rendues accessibles aux attaquants.
La CNIL affirme qu’il appartient au responsable du traitement de décider « de la mise en place de mesures et donner des instructions documentées à son sous-traitant ». Pour sa part, le sous-traitant doit rechercher « les solutions techniques et organisationnelles les plus appropriées » pour assurer la sécurité des données, et « les proposer au responsable du traitement ».
Face à ces manquements, la CNIL a prononcé deux amendes distinctes : 150 000 euros à l’encontre du responsable du traitement et 75 000 euros à l’encontre du sous-traitant.
Lien vers la publication de la CNIL : https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant
