Les conseils de la CNIL : comment réagir et prévenir une attaque par bourrage d’identifiants

[2021-01-12] La CNIL (Commission Nationale de l’Informatique et des Libertés) publie le 12 janvier 2021 sa lettre d’information intitulée « violation du trimestre » qui détaille les attaques liées au bourrage d’identifiants ou « credential stuffing » en anglais.

Ce type d’attaque s’effectue en plusieurs phases. L’attaquant :
– récupère des listes d’identifiants et de mots de passe publiées, généralement suite à une violation de données, en partant du principe que les utilisateurs se servent souvent du même mot de passe et du même identifiant (l’adresse courriel) pour différents services ;
– tente une grande quantité de connexions sur des sites souvent peu sécurisés, par l’intermédiaire de robots ;
– arrive à se connecter à ces sites peu sécurisés, qui ont du mal à distinguer un robot d’un véritable utilisateur ;
– change les mots de passe des utilisateurs, qui ne peuvent plus se connecter à leur compte.

Que faire en cas d’attaque ? La CNIL préconise une démarche en 4 étapes.

Première étape : comprendre l’origine de l’attaque et en limiter les effets.
– Organiser une cellule de crise.
– Analyser les journaux d’accès et bloquer les flux suspects.

Deuxième étape : informer les personnes concernées par l’attaque, pour qu’elles puissent prendre les décisions adéquates (changer leurs mots de passe, faire opposition à leur carte bancaire,…).

Troisième étape : documenter la violation, et la notifier à la CNIL.

Quatrième étape : prévenir les futures attaques.
– Utiliser une connexion multifacteurs (par ex. envoi d’un code SMS à usage unique sur le mobile de l’utilisateur au moment de la connexion).
– Instaurer des mesures de sécurité fortes pour les utilisateurs, par exemple un CAPTCHA ou un couple identifiant – mot de passe où l’identifiant n’est pas basé sur l’adresse courriel de l’utilisateur.

Le texte contenant les conseils de la CNIL peut être obtenu en cliquant sur le lien suivant.

Ces articles pourraient aussi vous intéresser

Méthodologies de référence CNIL : publication des nouvelles MR-001 et MR-003

[2026-05-23] La Commission Nationale de l’Informatique et des Libertés (CNIL) a modernisé, le 23 mai 2026, le cadre juridique applicable aux recherches dans le domaine…contenu réservé à nos abonnés Premium <div id="load" style="border: 2px solid #000; padding: 25px; font-size: 20px;...

1ᵉʳ juillet : jalon important pour la traçabilité des dispositifs médicaux en Suisse et en Australie

[2026-07-01] Le 1ᵉʳ juillet 2026, les autorités compétentes suisse et australienne ont rappelé l’entrée en application de nouvelles exigences. Swissdamed obligatoire Swissmedic (Institut suisse des produits thérapeutiques) a publié le 1ᵉʳ juillet une communication de synthèse rappelant le début de l’utilisation...

MHRA : rapport sur la phase 2 de AI Airlock

[2026-06-09] La MHRA (Medicines & Healthcare products Regulatory Agency), l’autorité compétente au Royaume-Uni, a publié ce 9 juin 2026 son rapport concernant la phase 2 du…contenu réservé à nos abonnés Premium <div id="load" style="border: 2px solid #000; padding: 25px; font-size: 20px;...

Master UDI-DI : spécifications et enregistrements se précisent !

[2026-06-09] (Accès libre) En décembre dernier, il manquait encore des éléments pour mettre en œuvre l’identification unique (Unique Device Identification ou UDI) des montures, verres et lunettes prémontées. L’identification de ces dispositifs, hautement individualisés, fait l’objet d’une solution ad hoc,...