Passer au contenu

Un site d’e-commerce écope d’une lourde amende pour avoir laissé les pirates siphonner des comptes client

Un site d’e-commerce a mis un an pour contrer des attaques par bourrage d’identifiants, laissant les pirates partir avec les données de 40 000 clients. La CNIL qui a décidé de sanctionner ce « manque de diligence ».

L’incompétence peut coûter cher. La CNIL vient d’infliger une amende de 225 000 euros à l’encontre d’un site d’e-commerce -dont le nom n’est pas précisé- pour ne pas avoir réagi assez rapidement face à des attaques par bourrage d’identifiants (credential stuffing). Celles-ci sont largement automatisées et consistent à utiliser des listes d’identifiants trouvées ailleurs pour tenter de se connecter à des comptes en ligne.

Pour contrer ce type d’attaques, il existe des solutions relativement simples, comme la limitation du nombre de requêtes par adresse IP ou l’utilisation d’un « captcha ». Mais le site a préféré concentrer ses efforts sur le développement d’un outil permettant de détecter et bloquer les attaques lancées à partir de robots. Malheureusement, ce développement a duré un an à compter des premières attaques. Résultat : entre mars 2018 et février 2019, les pirates ont pu siphonner en toute tranquillité les données d’environ 40 000 clients : nom, prénom, adresse courriel, date de naissance, numéro et solde de la carte de fidélité, informations liées aux commandes.

En raison de ce « manque de diligence », la CNIL a estimé que ce comportement va à l’encontre de l’article 32 du RGPD (obligation d’assurer la sécurité des données personnelles des clients). Elle a donc décidé de sanctionner le responsable de traitement et son sous-traitant à hauteur de respectivement 150 000 et 75 000 euros.

Source : CNIL

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN