Les noms ne sont pas donnés par le régulateur des données personnelles, mais les amendes sont bien réelles. Une société et son sous-traitant ont été sanctionnés respectivement à 150 000 euros et 75 000 euros pour infraction à l’article 32 du RGPD. Ce dernier impose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Alertée entre juin 2018 et janvier 2020, la CNIL a été sollicitée par plusieurs dizaines de notifications de violation de données sur un site web d’un e-commerçant. Suite à des enquêtes, les agents de la Commission constatent que le site a subi plusieurs vagues d’attaques de type credential stuffing ou bourrage d’identifiants. Cette technique consiste à récupérer des listes d’identifiants et de mots de passe volées et d’utiliser des robots pour essayer des connexions sur des comptes. Quand les tentatives aboutissent, les pirates ont pu avoir accès à différentes données : nom, prénom, adresse courriel et date de naissance des clients, mais également numéro et solde de leur carte de fidélité et des informations liées à leurs commandes.

Un retard préjudiciable

Pour répondre à ces attaques de bots, les deux entreprises ont pris le parti de développer un outil pour détecter et contrer ces campagnes. Cependant, l’élaboration de cet outil a pris un an et les offensives se sont multipliées pendant ce laps de temps. A cause de ce retard, le régulateur estime que « les données d’environ  40 000 clients du site web ont été rendues accessibles à des tiers non autorisés entre mars 2018 et février 2019 ».

Dans sa décision, la Cnil précise que d’autres options de sécurité auraient pu être mises en place rapidement et auraient permis l’atténuation des attaques. Ainsi, la limitation des requêtes autorisées par adresse IP sur le site web ou l’apparition d’un Captcha dès les premières tentatives d’authentification sont des pistes citées par la Cnil. Face à ce retard, la formation restreinte a décidé de sanctionner la société et son sous-traitant.