La CNIL a sanctionné en ce début d’année 2021 un responsable de traitement de 150 000 euros d’amende et son sous-traitant, en charge de la gestion du site web du responsable du traitement, de 75 000 euros d’amende pour ne pas avoir pris des mesures de sécurité satisfaisantes sur ce site web, en particulier pour faire face à des attaques informatiques par bourrage d’identifiants (ou credential stuffing). Toutefois, ces deux décisions de sanctions n’ont pas été rendues publiques par la CNIL.
Pour en savoir plus :
Suite à la réception de plusieurs dizaines de notifications de violations de données personnelles entre juin 2018 et janvier 2020 en lien avec un site web à partir duquel des millions de clients effectuent régulièrement des achats, la CNIL a effectué des contrôles auprès du responsable du traitement et de son sous-traitant en charge de la gestion de ce site web. Elle a constaté que le site web avait subi des attaques de type credential stuffing.
Remarque :
Il est utile de préciser que les attaques de type credential stuffing suivent en général un même scénario à savoir que les attaquants récupèrent d’abord des listes d’identifiants et de mots de passe « en clair » publiées sur le dark web suite à une violation de données personnelles. Ensuite, partant du principe que les utilisateurs se servent souvent du même mot de passe et du même identifiant (adresse e-mail) pour différents services, ils utilisent des « robots » pour réaliser des tentatives d’authentification massives sur des sites et services web. En cas d’authentification réussie, ils peuvent notamment avoir accès à des données personnelles associées aux comptes web, changer le mot de passe des comptes pour que leurs utilisateurs ne puissent plus utiliser leurs comptes et dans certains cas (si la carte bancaire du client est enregistrée) effectuer des achats (cf. Communiqué CNIL du 12 janvier 2021 « La violation du trimestre : attaque par credential stuffing sur un site web »).
En l’espèce, la CNIL a constaté que des attaquants ont pu prendre connaissance des données personnelles associées aux comptes clients à savoir les nom, prénom, adresse e-mail, date de naissance, numéro et solde de la carte de fidélité, des informations liées aux commandes des clients du site web.
L’article 32 du RGPD prévoit que « (…) que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : a) la pseudonymisation et le chiffrement des données à caractère personnel ; b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ; d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement (…) ».
Le responsable du traitement et son sous-traitant avaient opté pour le développement d’un outil permettant de détecter et de bloquer ces attaques et dont la mise en œuvre a duré un an à compter des premières attaques. Or, la CNIL a relevé que, par manque de diligence, les données personnelles d’environ 40 000 clients du site web ont été rendues accessibles à des tiers non autorisés entre mars 2018 et février 2019. La CNIL a donc considéré que le responsable du traitement et son sous-traitant avaient manqué à leur obligation de sécurité des données personnelles des clients prévue à l’article 32 du RGPD car ils avaient tardé à mettre en place des mesures de sécurité permettant de lutter efficacement contre ces attaques répétées. La CNIL a précisé que d’autres mesures produisant des effets plus rapides auraient pu être envisagées afin d’empêcher de nouvelles attaques ou d’en atténuer les conséquences négatives pour les personnes concernées telles que la limitation du nombre de requêtes par adresse IP sur le site web ou encore l’apparition d’un Captcha dès la première tentative d’authentification des utilisateurs à leur compte, très difficile à contourner pour un « robot ».
Au vu de leurs responsabilités respectives, la formation restreinte (formation de sanction) de la CNIL a donc sanctionné le responsable du traitement d’une amende de 150 000 euros et son sous-traitant d’une amende de 75 000 euros. A cette occasion, elle a rappelé que certes, le responsable du traitement doit décider de la mise en place de mesures et donner des instructions documentées à son sous-traitant mais qu’il appartient également au sous-traitant de rechercher les solutions techniques et organisationnelles les plus appropriées pour assurer la sécurité des données personnelles et les proposer au responsable du traitement.
Remarques :
- Rappelons qu’un responsable du traitement a d’une part, une obligation de sécurité des données personnelles traitées et d’autre part, une obligation de notifier à l’autorité de contrôle (la CNIL en France) toute violation de données personnelles si elle est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Le non-respect de ces obligations distinctes est susceptible d’être sanctionné par la CNIL d’une amende pouvant s’élever à 10 millions d’euros ou dans le cas d’une entreprise, à 2 % de son chiffre d’affaires annuel mondial (art. 83 4° du RGPD). Par ces sanctions, la CNIL a adressé un message fort aux sous-traitants en leur rappelant qu’ils ont également une obligation de sécurité et qu’ils sont susceptibles dès lors d’être sanctionnés. Enfin, la CNIL a communiqué le 27 janvier 2021 sur ses décisions non publiques, pour alerter tous les organismes disposant d’un site web sur la nécessité de renforcer leur vigilance sur ces attaques par credential stuffing et de développer, en lien avec leurs sous-traitants, des mesures de sécurité suffisantes aux fins de garantir la protection des données personnelles de leurs clients.
- On ne peut que préconiser aux organismes d’effectuer un audit de sécurité de leurs sites web et ce d’autant plus qu’en 2021, la cybersécurité des sites web est au cœur du programme de contrôles de la CNIL (avec la sécurité des données de santé et le respect de la règlementation sur les cookies), qui représente en général un quart de ses contrôles. La CNIL a indiqué dans son communiqué du 2 mars 2021 que les défauts de sécurité des sites web figurent parmi les manquements les plus souvent constatés lors des contrôles et peuvent notamment conduire à des violations de données. Elle a d’ailleurs précisé avoir reçu 2 825 notifications de violations de données en 2020, soit 24 % de plus qu’en 2019. La CNIL a prévenu qu’elle contrôlera le niveau de sécurité des sites web français les plus utilisés dans différents secteurs et notamment les formulaires de collecte des données personnelles, l’utilisation du protocole https et la conformité à sa recommandation de 2017 sur les mots de passe. Elle a en outre prévu d’interroger les organismes sur les stratégies mises en place pour se prémunir contre les rançongiciels (ou ransomwares en anglais) qui sont des programmes malveillants ayant pour but le paiement d’une rançon par l’organisme victime (cf. Guide ANSSI « Attaques par rançongiciels, tous concernés - Comment les anticiper et réagir en cas d’incident ? » d’août 2020).
Vanessa Younès-Fellous, avocate en droit de la protection des données personnelles, formatrice Lefebvre Dalloz
Découvrez notre formation afin de gérer les contrôles CNIL
Articles les plus lus
Articles les plus récents
Inscription à la newsletter
