La CNIL a publié le 12 janvier dernier ses recommandations face aux attaques par bourrage d’identifiants. Ces attaques, qui reposent sur le principe que les internautes se servent souvent du même mot de passe et du même identifiant pour différents services, consistent à réaliser des tentatives d’authentification massives sur des sites et services web à partir de couples identifiants/mots de passe, obtenus à la suite d’une violation de données.
En cas d’attaque, la CNIL recommande d’organiser une cellule de crise, d’analyser les journaux d’accès (« logs ») pour déterminer la nature de l’attaque, d’informer les personnes concernées par une alerte leur proposant de modifier leur mot de passe, d’enregistrer la violation dans le registre adapté et de la notifier à la CNIL.
Plus intéressantes sont les mesures de sécurité proposées par la CNIL pour prévenir les futures attaques par « credential stuffing ». Il s’agit, d’une part, d’exclure le risque d’une attaque en subordonnant l’accès à un service, non seulement à l’utilisation d’un identifiant et d’un mot de passe, mais également d’une connexion multifacteur (comme l’envoi d’un SMS de confirmation). D’autre part, le risque d’une telle attaque peut être réduit, selon la CNIL, en ayant recours, au stade de la connexion de l’internaute, à un CAPTCHA ou en imposant que l’identifiant ne soit pas l’adresse courriel de l’utilisateur.
A défaut de mise en place de ces mesures par les entreprises exposées aux attaques par bourrage d’identifiants, la CNIL pourrait retenir, entre autres, cet élément pour caractériser la violation de l’obligation de sécurité du responsable de traitement ou du sous-traitant.