Votre recherche

Popular Tags

Paris

16.8°C
Few Clouds Humidity: 53%
Wind: NNE at 2.68 M/S

Bourrage d'identifiants : deux sociétés sanctionnées

Protection de la vie privée

La Cnil sanctionne de 150.000 € et 75.000 € un responsable de traitement et son sous-traitant pour ne pas avoir pris de mesures satisfaisantes pour faire face à des attaques par "credential stuffing".

Après avoir reçu plusieurs dizaines de notifications de violations de données personnelles, la Commission nationale de l'informatique et des libertés (Cnil) a constaté que le site web concerné, à partir duquel plusieurs millions de clients effectuent régulièrement des achats, avait subi de nombreuses vagues d’attaques de type "credential stuffing".

Il s'agit, au moyen de "robots", de tenter un grand nombre de connexions sur des sites à partir de listes d’identifiants et de mots de passe publiées sur internet.
Les attaquants ont ainsi pu prendre connaissance des informations suivantes : nom, prénom, adresse courriel et date de naissance des clients, mais également numéro et solde de leur carte de fidélité et des informations liées à leurs commandes.

La formation restreinte de la Cnil a considéré que le responsable du traitement et de son sous-traitant avaient manqué à leur obligation de préserver la sécurité des données personnelles des clients, prévue par l’article 32 du règlement 2016/679 du 27 avril 2016 (RGPD).

En effet, les sociétés ont tardé à mettre en place des mesures permettant de lutter efficacement contre ces attaques répétées : elles avaient décidé de développer un outil permettant de détecter et de bloquer les attaques lancées à partir de robots, qui n'a été opérationnel qu'un an à compter des premières attaques.

Or, selon la Cnil, plusieurs autres mesures produisant des effets plus rapides auraient pu être envisagées, telles que :
- la limitation du nombre de requêtes autorisées par adresse IP sur le site web, qui aurait pu permettre de freiner le rythme auquel les attaques étaient menées ;
- l’apparition d’un CAPTCHA dès la première tentative d’authentification des utilisateurs à leur compte, très difficile à contourner pour un robot.
Du fait de ce manque de diligence, les données d’environ 40.000 clients du site web ont été rendues accessibles à des tiers non autorisés entre mars 2018 et février 2019.

En conséquence, la formation restreinte prononce deux amendes distinctes : 150 000 € à l’encontre du responsable de traitement et 75.000 (...)

Cet article est réservé aux abonné(e)s LegalNews
Vous êtes abonné(e) ?
Identifiez-vous
Vous n'êtes pas abonné(e) à LegalNews
Découvrez nos formules d'abonnement
Image
Back To Top

Actualisé quotidiennement, le Monde du Droit est le magazine privilégié des décideurs juridiques. Interviews exclusives, les décryptages des meilleurs spécialistes, toute l’actualité des entreprises, des cabinets et des institutions, ainsi qu’une veille juridique complète dans différentes thématiques du droit. De nombreux services sont également proposés : annuaire des juristes d’affaires, partenariats de rubriques (affichez votre expertise sur Le Monde du Droit), création d’émissions TV diffusées sur 4Change (Interviews, talkshows, chroniques...), valorisation de vos différentes actions (deals, nominations, études, organisations d’événements, publication de contributions, récompenses, création de votre cabinet...)