Close
Actualité

Défaillance à établir des mesures de sécurité en temps utile et de manière satisfaisante face à des cyber-attaques

Dans le cadre de son activité de contrôle de la législation relative aux données personnelles, la CNIL a condamné deux sociétés anonymes, à savoir un responsable de traitement et son sous-traitant, à des amendes respectives de 150.000 € et 75.000 € pour ne pas avoir établi de mesures de sécurité suffisantes sur leur site web afin de faire face à des cyber-attaques de bourrage d’identifiants dites « credential-stuffing ». La décision de condamnation n’a pas été rendue publique, seul un communiqué a été publié.

#RGPD #Credential-stuffing #mesures de cyber-sécurité #contrôle CNIL

L

La sanction a été prononcée sur le fondement de l’article 32 du RGPD, qui dispose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

 

Cette condamnation fait suite à une investigation de la CNIL déclenchée par plusieurs dizaines de notifications de violations de données personnelles, envoyées à partir de juin 2018, en lien avec un site internet d’e-commerce à partir duquel plusieurs millions de clients effectuent régulièrement des achats.

 

Les investigations se sont orientées sur le responsable de traitement de ce site et de son sous-traitant, qui étaient les responsables de la gestion du site web d’e-commerce. Il a alors été découvert que plusieurs séries d’attaques par bourrage d’identifiants ou « credential-stuffing » avaient eu lieu sur ce site.

 

Au regard de la nature de cette pratique, il faut souligner qu’elle est actuellement de plus en plus employée dans le cadre de campagne de cyber-attaque, et consiste à réaliser, à l’aide de logiciels ou de façon manuelle, des tentatives d’authentification massives sur des sites et services web à partir de couples identifiants/mots de passe (généralement, une adresse électronique et un mot de passe).

 

L’attaque par bourrage d’identifiants se manifeste alors par une très forte et soudaine affluence sur le site web visé, causée par un très grand nombre de requêtes envoyées simultanément auprès des serveurs d’authentification des clients.

 

Elle a pour conséquence une atteinte à la sécurité des données détenues par l’entreprise visée, et peut ainsi facilement entrainer le développement d’une mauvaise réputation et des pertes économiques pour celle-ci. Surtout, ce sont les personnes à qui appartiennent ces données personnelles qui subissent un grand préjudice en raison du vol d’informations, qui permet aux malfaiteurs de prendre le contrôle du compte de ces premiers et parfois de faire des achats avec leur carte bancaire éventuellement enregistrée.

 

En l’occurrence, les attaques qui ont visé le site web objet de l’enquête ont permis aux cybercriminels d’obtenir le nom, prénom, adresse courriel et date de naissance des clients, mais également le numéro et solde de leur carte de fidélité, ainsi que des informations liées à leurs commandes.

 

Le développement de ce type d’attaque est dû à plusieurs facteurs :

 

  • Sur le web, il est généralement demandé pour se créer un compte utilisateur une adresse électronique en tant qu’identifiant ;
  • Or, les utilisateurs utilisent très souvent la même combinaison d’adresse électronique et de mot de passe pour s’identifier sur des sites distincts ;
  • En raison de cyberattaques, de nombreuses listes de ces combinaisons d’adresse et mot de passe sont publiées sur le dark web ;
  • Les cybercriminels utilisent de plus en plus des robots (« bots ») ayant la capacité d’outrepasser les mesures de sécurité basiques telles que la résolution des CAPTCHA les plus simples, et permettent ainsi des tentatives d’authentification massives sur des sites peu protégés.

 

Au regard du manquement reproché en l’espèce au responsable de traitement et de son sous-traitant, la formation restreinte de la CNIL a prononcé sa sanction en se fondant sur la défaillance de ces sociétés à établir des mesures de sécurité en temps utile et de manière satisfaisante.

 

Les deux sociétés condamnées avaient en effet décidé de développer elles-mêmes un outil permettant de bloquer les attaques lancées à partir de robots, ce qui a retardé la prise d’effet de la mesure à un délai d’un an après les premières attaques.

 

La CNIL a constaté que ces sociétés auraient pu adopter des mesures plus efficaces afin de se protéger bien plus rapidement, par :

 

  • La limitation du nombre de requêtes autorisées par adresse IP sur le site web, qui aurait pu permettre de freiner le rythme auquel les attaques étaient menées ;
  • L’apparition d’un CAPTCHA dès la première tentative d’authentification des utilisateurs à leur compte, très difficile à contourner pour un robot.

 

En raison de ce manque de diligence, ce sont les données d’environ 40 000 clients du site qui ont été rendues accessibles à des tiers non autorisés durant la période allant de mars 2018 à février 2019.

 

Ce manquement a donc entrainé la condamnation du responsable de traitement et de son sous-traitant sur le fondement d’une violation de l’article 32 du RGPD, aboutissant à une amende de 150.000 et 75.000 €.

 

Au regard des implications juridiques de cette décision, la CNIL a souligné que le responsable de traitement doit décider de la mise en place de mesures et donner des instructions documentées à son sous-traitant. Mais le sous-traitant doit aussi rechercher les solutions techniques et organisationnelles les plus appropriées pour assurer la sécurité des données personnelles, et les proposer au responsable de traitement.

 

Il en découle ainsi une double obligation à l’égard du responsable de traitement qui doit décider de l’adoption des mesures les plus efficaces en temps utile et ensuite en donner instruction à son sous-traitant, mais également à l’égard du sous-traitant qui doit rester force de proposition et soumettre au responsable de traitement les solutions les plus adaptées à la garantie de la sécurité des données personnelles traitées. À partir du moment où des cyberattaques ont lieu, le sous-traitant ne peut alors s’abstenir de réagir en attendant les instructions du responsable de traitement.

 

Afin de prévenir ce type d’attaque, la CNIL préconise :

 

  • D’établir des systèmes de connexion multifacteur, comme l’envoi d’un SMS contenant un code à usage unique sur le téléphone de l’utilisateur ;
  • L’instauration de mesures de sécurité fortes pour les utilisateurs, tel que l’établissement d’un CAPTCHA et l’établissement d’un couple identifiant mot de passe où l’identifiant n’est pas basée sur l’adresse courriel de l’utilisateur ;
  • Pour le personnel en charge de la sécurité informatique, de réaliser une veille active sur les méthodes utilisées par les cybercriminels afin d’adapter en fonction leurs dispositifs de défense.

 

Dans le cas d’une telle attaque, la CNIL préconise également :

 

  • De réunir une cellule de crise avec le responsable des systèmes de sécurité, le DPO et les prestataires externes spécialisés dans les systèmes d’information concernés. Le personnel spécialisé dans la sécurité informatique pourra alors faire une analyse des « logs » afin de détecter une activité suspecte, et en fonction utiliser un système de « limitation rate » permettant de limiter le trafic réseau.
  • D’informer les utilisateurs concernés en cas d’attaque en leur envoyant une alerte permettant à ces derniers de suspendre immédiatement leur compte et de changer leur mot de passe s’ils ne sont pas à l’origine de la connexion.
  • De documenter et de faire un signalement à la CNIL, en enregistrant la violation dans son registre des violations ; et en notifiant la violation à la CNIL dans un délai de 72 h (article 33 du RGPD).