La CNIL sanctionne l’absence de mesures correctives rapides à des attaques de type « credential stuffing »

Le 27 janvier 2021, la CNIL a annoncé avoir sanctionné un responsable de traitement et son sous-traitant à hauteur de 150 000 € et de 75 000 € pour manquement à leur obligation de sécurité. Elle a jugé que la société, victime d’attaques par bourrage d'identifiants, aurait pu prendre des mesures plus efficaces que le développement d’un outil de détection et de blocage des attaques lancées par robot, comme la limitation du nombre de requêtes autorisées par adresse IP ou l’apparition de CAPTCHA. Elle a également reproché au sous-traitant de ne pas avoir suggéré de telles mesures.

Pour lire le communiqué de la CNIL