Le 27 janvier 2021, la CNIL a sanctionné un responsable de traitement et son sous-traitant pour ne pas avoir pris les mesures de sécurité suffisantes pour faire face à des attaques par bourrage d’identifiants (credential stuffing).
Le site web du responsable de traitement, dont la gestion était confiée au sous-traitant, a subi entre 2018 et 2020 plusieurs vagues d’attaques de type credential stuffing. Le credential stuffing est une cyberattaque consistant à récupérer des informations de connexion et à les utiliser en tentant un grand nombre de connexions pour accéder de manière non autorisée à des comptes en ligne à l’aide de robots.
Face à ces attaques, le responsable de traitement et son sous-traitant ont pris des mesures visant à permettre la détection et le blocage des attaques lancées à partir de robots. Cependant, le développement de cet outil a pris un an à compter des premières attaques.
Malgré ces mesures, les attaques répétées ont eu pour conséquence l’accès non autorisé aux données d’environ 40.000 clients du site internet.
Selon la CNIL, le responsable de traitement et son sous-traitant auraient dû prendre des mesures plus efficaces et plus rapides telles que :
La CNIL a donc considéré que le responsable de traitement et son sous-traitant ont manqué à leur obligation de sécurité prévue par l’article 32 du RGPD et a prononcé deux amendes distinctes, une amende de 150.000 euros à l’encontre du responsable du traitement et une amende de 75.000 euros à l’encontre du sous-traitant.