ja

Dépêches

j

Vie des affaires

Date: 2021-02-16

Vie des affaires

ALERTE DE LA CNIL SUR LES DANGERS DE L'ATTAQUE PAR BOURRAGE D'IDENTIFIANTS

La CNIL a entrepris d'informer régulièrement les entreprises sur des incidents de sécurité susceptibles de conduire à une violation de données personnelles. Sa dernière alerte porte sur l'attaque par bourrage d'identifiants.

Le mode opératoire est le suivant : une personne malveillante récupère des listes d'identifiants et de mots de passe, obtenues à la suite d'une violation de données. Les utilisateurs se servant toujours des mêmes mots de passe et identifiants, l'attaquant tente un grand nombre de connexions sur des sites, grâce à des « robots ». Lorsque l'authentification réussit, sur les sites peu sécurisés, il peut alors accéder aux informations associées aux comptes et les modifier, et faire par exemple des achats si une carte bancaire est enregistrée.

Portant atteinte à la sécurité des données des utilisateurs concernés, ce type d'attaque peut avoir des conséquences néfastes pour l'entreprise en causant des pertes économiques et une dégradation de sa réputation. Les entreprises concernées doivent donc impérativement sécuriser leur système d'information. La CNIL préconise surtout l'utilisation d'une connexion multifacteur, ajoutant au couple identifiant et mot de passe l'envoi d'un code à usage unique par sms sur le terminal de l'utilisateur.

La sanction peut être lourde pour les entreprises qui tardent à mettre en place des mesures permettant de lutter efficacement contre ces attaques répétées. Une société et son sous-traitant chargé de la gestion de son site web ont ainsi récemment été condamnés respectivement à 150 000 et 75 000 euros d'amendes. Du fait de leur manque de diligence, les données d'environ 40 000 clients du site ont été rendues accessibles à des tiers non autorisés pendant près d'1 an.

CNIL, Communiqués du 12 et du 27 janvier 2021

Retourner à la liste des dépêches Imprimer