Group Created with Sketch.

La CNIL sévit : Sanction pour manque d’anticipation

Credential stuffing : la CNIL a sanctionné pour manque d’anticipation de mise en place de mesures de sécurité correctives !

Le contexte : un responsable de traitement et son sous-traitant, victimes et coupables

Depuis juin 2018, soit un mois après l’entrée en vigueur du RGPD et pendant près d’un an et demi, la CNIL a reçu plusieurs notifications de violation de données provenant du même responsable de traitement. Celui-ci a la particularité de sous-traiter la gestion de son site internet qui offre à plusieurs millions de clients la possibilité d’effectuer régulièrement des achats en ligne.

C’est en raison de la récurrence des notifications que la CNIL a donc décidé de contrôler ces deux sociétés sur l’organisation de la gestion de ce site. Elle a alors constaté que ce dernier avait subi, depuis des mois, plusieurs attaques de type « credential stuffing ».

Qu’est-ce que le credential stuffing ?

C’est une violation de donnée qui consiste, pour un pirate informatique, à récupérer une liste d’identifiants/mots de passe des clients d’un premier site pour ensuite tenter, via un robot, de se connecter avec ces identifiants un grand nombre de fois sur plusieurs autres sites web.

Les internautes utilisant encore souvent les mêmes combinaisons d’identifiants et de mots de passe pour différents sites d’achats en ligne, il est aisé pour le pirate de se connecter aux différents comptes de ces internautes. Outre l’accès aux informations personnelles, le pirate peut également modifier les mots de passe et, dans les cas les plus graves, procéder à des achats si des cartes bancaires ont été enregistrées sur le site en question.

En l’espèce, plusieurs données personnelles étaient contenues sur le site web du responsable de traitement : les noms, prénoms, mails, date de naissance, numéros et soldes des cartes de fidélité des utilisateurs ainsi que des informations sur les commandes d’environ 40 000 clients.

Partant, il est raisonnable de se demander si, ayant notifié plusieurs violations à la CNIL, les acteurs de ce traitement n’ont pas jugé bon de renforcer les mesures de sécurité du site internet concerné par ces tentatives de violation. Le responsable de traitement et son sous-traitant ont, en effet, décidé de contrer ces attaques en lançant un chantier de développement d’un outil dédié à contrer les futures attaques informatiques.

La conception et le paramétrage de cet outil ont nécessité plus d’un an de travail. Durant cette période de temps, il est à noter que ni le responsable de traitement ni le sous-traitant n’ont pris la peine de mettre en place des mesures correctives de protection afin de protéger leurs clients de ce type d’attaque.

Ce manque de diligence a coûté au responsable de traitement et à son sous-traitant respectivement 150 000 et 75 000 euros d’amende pour manquement à l’obligation de préserver la sécurité des données personnelles de leurs clients.

Que faire si votre site subit une violation de ce type ?

1) Organiser rapidement une cellule de crise pour comprendre l’origine de l’attaque et limiter ses effets. Cela implique de réunir autour de la table :

  • le délégué à la protection des données ou le référent RGPD en interne pour analyser la gravité de la situation en termes de protection des données personnelles ;
  • le responsable de la sécurité des systèmes d’information et/ou le directeur des systèmes d’information pour rechercher la faille et rapidement tenter de résoudre le problème ;
  • le service juridique pour analyser les potentiels recours en justice et identifier les obligations légales et contractuelles liées à ce type de violation ;
  • le service communication pour alerter les utilisateurs en les informant de l’attaque informatique et en leur proposant une marche à suivre (ex. modifier leur mot de passe utilisé non seulement pour la connexion de votre site mais également pour tout autre site où les mêmes identifiant et mots de passe seraient utilisés ; faire opposition à leur carte bancaire ci cette dernière était enregistrée ; etc.).

2 ) Documenter la violation de données personne et en informer la CNIL

Pour rappel, toute violation de données personnelles doit, a minima, être inscrite sur votre registre des violations de données pour permettre de la documenter afin d’avoir notamment une trace écrite du contexte de survenance de ladite violation ainsi que des mesures correctives mises en œuvre pour y parer.

En outre, dans la mesure où cette violation a pu entrainer un risque pour les droits et libertés des personnes concernées par le traitement concerné, il sera indispensable de notifier cette violation à la CNIL dans un délai de 72h.

Enfin, vous avez la possibilité de vous faire aider en contactant l’ANSSI ou en déposant plainte auprès des autorités compétentes.

Que faut-il retenir ? C’est qu’il vaut mieux prévenir que guérir !

En matière de protection des données, la prévention est le maître-mot ! Ainsi, dès la conception de votre site dédié à l’achat en ligne, pensez à :

  • utiliser une connexion multi-facteurs : l’envoi d’un SMS contenant un code à usage unique limitant fortement les connexions frauduleuses ;
  • instaurer des mesures fortes de sécurité : l’utilisation d’un CAPTCHA ou l’interdiction à l’internaute d’utiliser son adresse email comme identifiant ;
  • utiliser un outil de gouvernance : cet outil permettra de tracer la violation dans un registre dédié et permettra de faire le lien avec des modules de plan d’actions mais également de registre. Kaora Partners a développé un outil NOA qui vous permet de déclencher des actions et relier des éléments pour documenter au mieux votre violation.

C’est aussi en ce sens de prévention que la CNIL a décidé de communiquer cette sanction, sans pour autant rendre publique sa délibération. En effet, cette décision permet d’alerter les professionnels (tant responsables de traitement que sous-traitants) sur ce type d’attaque afin de renforcer leur vigilance et développer, en amont, des mesures de sécurité suffisantes pour limiter au maximum le risque d’attaques informatiques.

Pour plus d’informations, rendez-vous ici !

Une question ? Adressez-vous à notre communauté RGPD qui pourra vous accompagner dans la gestion de vos violations de données. Renseignez-vous en cliquant ici.