Sous peine de sanction CNIL, un responsable de traitement a l’obligation de prendre des  mesures satisfaisantes pour faire face à des attaques par bourrage d’identifiants (credential stuffing) sur son site web.

Notion de credential stuffing

La plupart des sites web proposant un espace authentifié, par exemple une plateforme de e-commerce, peut être soumis à un type d’attaque répandu : le bourrage d’identifiants ou credential stuffing.

Cette attaque se manifeste généralement par une très forte et soudaine affluence, dont la cause est un grand nombre de requêtes envoyées à destination des serveurs d’authentification des clients.

Une telle attaque, qui porte atteinte à la sécurité des données, peut avoir des conséquences importantes pour l’entreprise (pertes économiques, mauvaise réputation, etc.) et surtout pour les personnes concernées (perte d’accès au service, vol d’informations personnelles, etc.).

Sanction de la CNIL

La formation restreinte de la CNIL a récemment sanctionné (décision non publiée) de 150 000 euros et 75 000 euros un responsable de traitement et son sous-traitant pour ne pas avoir pris de mesures satisfaisantes pour faire face à des attaques par bourrage d’identifiants (credential stuffing) sur le site web du responsable de traitement.

Entre juin 2018 et janvier 2020, la CNIL a reçu plusieurs dizaines de notifications de violations de données personnelles en lien avec un site internet à partir duquel plusieurs millions de clients effectuent régulièrement des achats. La CNIL a décidé de mener des contrôles auprès du responsable du traitement et de son sous-traitant, a qui était confié la gestion de ce site web.

Au cours de ses investigations, la CNIL a constaté que le site web en cause avait subi de nombreuses vagues d’attaques de type credential stuffing. Dans ce type d’attaque, une personne malveillante récupère des listes d’identifiants et de mots de passe « en clair » publiées sur Internet, généralement à la suite d’une violation de données. Partant du principe que les utilisateurs se servent souvent du même mot de passe et du même identifiant (l’adresse courriel) pour différents services, l’attaquant va, grâce à des « robots », tenter un grand nombre de connexions sur des sites. Lorsque l’authentification réussit, cela lui permet de prendre connaissance des informations associées aux comptes en question.

La CNIL a constaté que des attaquants ont ainsi pu prendre connaissance des informations suivantes : nom, prénom, adresse courriel et date de naissance des clients, mais également numéro et solde de leur carte de fidélité et des informations liées à leurs commandes.

Mesures de sécurité insuffisantes

La CNIL a considéré que les deux sociétés avaient manqué à leur obligation de préserver la sécurité des données personnelles des clients, prévue par l’article 32 du RGPD.

En effet, les sociétés ont tardé à mettre en place des mesures permettant de lutter efficacement contre ces attaques répétées. Elles avaient décidé de concentrer leur stratégie de réponse sur le développement d’un outil permettant de détecter et de bloquer les attaques lancées à partir de robots. Toutefois, le développement de cet outil a pris un an à compter des premières attaques.

Or, dans l’intervalle, plusieurs autres mesures produisant des effets plus rapides auraient pu être envisagées afin d’empêcher de nouvelles attaques ou d’en atténuer les conséquences négatives pour les personnes, telles que : i) la limitation du nombre de requêtes autorisées par adresse IP sur le site web, qui aurait pu permettre de freiner le rythme auquel les attaques étaient menées ; ii) l’apparition d’un CAPTCHA dès la première tentative d’authentification des utilisateurs à leur compte, très difficile à contourner pour un robot.

Du fait de ce manque de diligence,  les données d’environ  40 000 clients du site web ont été rendues accessibles à des tiers non autorisés entre mars 2018 et février 2019.

Responsabilité en chaîne  

Le responsable de traitement doit décider de la mise en place de mesures et donner des instructions documentées à son sous-traitant, mais le sous-traitant doit aussi rechercher les solutions techniques et organisationnelles les plus appropriées pour assurer la sécurité des données personnelles, et les proposer au responsable de traitement.

Notification à la CNIL

Pour rappel, l’accès non autorisé à des données personnelles est considéré comme une violation de données. Dans ce cas, le responsable de traitement doit : i) enregistrer la violation dans son registre des violations ; ii) notifier la violation à la CNIL dans un délai de 72 h (article 33 du RGPD).

Il peut également déposer une plainte auprès des autorités compétentes (police, gendarmerie). Il est important que le responsable de traitement dispose de toutes les informations techniques, notamment les journaux d’accès, afin de pouvoir les communiquer aux enquêteurs.

Prévenir les futures attaques

Afin de se prémunir de ce type d’attaque, la CNIL invite à utiliser une connexion multifacteur. Les accès aux comptes depuis le portail web peuvent être sécurisés, en plus du couple identifiant et mot de passe, par l’utilisation d’une connexion multifacteur, par exemple par l’envoi d’un SMS contenant un code à usage unique sur le terminal mobile de l’utilisateur empêchant finalement toute connexion frauduleuse depuis le web.

Ces mesures peuvent permettre au responsable de traitement de ne pas subir de violation de données importante et d’assurer la confidentialité des données confiées par ses clients.

Les mesures mises en œuvre correctement permettent de lutter efficacement contre des attaques, parfois anciennes et parfois plus récentes. Il est important pour les équipes en charge de la sécurité des systèmes d’information d’effectuer une veille active sur les méthodes utilisées par les attaquants et d’adapter, en fonction, leur dispositif de défense.

Afin de réduire le taux de réussite de l’attaquant, il est aussi utile de mettre en place des mesures de sécurité adaptées, par exemple : i) un CAPTCHA ; ii) un couple identifiant et mot de passe où l’identifiant n’est pas basé sur l’adresse courriel de l’utilisateur.