La CNIL sanctionne deux entreprises, incapables de prévenir une attaque par credential stuffing

Une attaque qui consiste à mitrailler des tombereaux de logins et mots de passe à l’aide de listes, généralement récupérées sur le Net. Elle permet ainsi d’accéder aux espaces personnels, en partant du principe que les internautes utilisent les mêmes combinaisons sur plusieurs services en ligne.

Deux sociétés ont été condamnées par la CNIL pour avoir « tardé à mettre en place des mesures permettant de lutter efficacement contre ces attaques répétées ». 

Plus exactement, « elles avaient décidé de concentrer leur stratégie de réponse sur le développement d’un outil permettant de détecter et de bloquer les attaques lancées à partir de robots. Toutefois, le développement de cet outil a pris un an à compter des premières attaques ».

Une entaille à l’obligation de sécurisation imposée par le RGPD, alors que ces entreprises auraient pu opter pour des mesures plus immédiates comme « la limitation du nombre de requêtes autorisées par adresse IP » et/ou l’usage d’un CAPTCHA.

« Du fait de ce manque de diligence,  les données d’environ  40 000 clients du site web ont été rendues accessibles à des tiers non autorisés entre mars 2018 et février 2019 ».

Elles écopent respectivement de 150 000 et 75 000 euros d’amende. Malgré le nombre de clients touchés, la CNIL n’a pas jugé opportun de rendre publique sa délibération, et donc le nom des entités.