08.07.2022 - Le dernier rapport des autorités internationales de protection des données (l’Assemblée mondiale pour la protection de la vie privée) consacré aux attaques par bourrage d’identifiants (en anglais credential stuffing) tire la sonnette d’alarme sur ce type de cyberattaque qui fait peser une menace croissante sur les données personnelles. Le rapport s’accompagne de lignes directrices qui détaillent les mesures de sécurité qu’il est possible de prendre pour se protéger.
Attaques par bourrage d’identifiants: rapport et lignes directrices
Les attaques par bourrage d’identifiants (en anglais « credential stuffing ») sont un type de cyberattaque qui exploite l’habitude qu’ont de nombreux internautes d’utiliser les mêmes combinaisons d’identifiants, adresses de courriels et de mots de passe pour différents services en ligne. Lors de ces attaques, menées de façon automatique et souvent à grande échelle, des escrocs réutilisent des données d’accès volées sur un site Internet pour tenter de se connecter à toutes sortes d’autres plateformes en ligne.
Publié sous l’égide de l’Assemblée mondiale pour la protection de la vie privée (AMVP) par un sous-groupe de travail du Groupe de travail sur la coopération internationale en matière d’application de la loi (IEWG) composé du PFPDT et des autorités de protection des données du Royaume-Uni, du Canada, de Gibraltar, de Jersey et de la Turquie, le rapport souligne la recrudescence de ce type d’attaques et livre des conseils sur la manière dont les organisations et le grand public peuvent identifier, prévenir et réduire le risque d’en être victime.
Les lignes directrices destinées aux entreprises visent à leur permettre de cerner les menaces que représentent les attaques par bourrage d’identifiants pour les données personnelles en leur possession et à expliquer les mesures qu’elles peuvent prendre pour atténuer les risques en la matière. Parmi ces dernières, le rapport souligne que l’authentification multifactorielle est le moyen le plus efficace de protéger les comptes en ligne contre les attaques par bourrage d’identifiants.
Bien que ces lignes directrices ne constituent pas des obligations légales pour tous les pays, elles peuvent aider les organisations à se conformer aux lois en matière de protection des données et des renseignements personnels, qui les obligent à protéger les renseignements personnels contre les menaces que représentent les attaques par bourrage d’identifiants.
L’AMVP, qui regroupe plus de 130 autorités de protection des données dans le monde, est l’une des instances internationales les plus importantes pour les autorités chargées de la protection des données et de la vie privée.
Le rapport et les lignes directrices peuvent être consultés ici :
International Enforcement Cooperation Working Group: Credential Stuffing Awareness Raising for individuals
International Enforcement Cooperation Working Group: Credential Stuffing Guidelines for commercial organisations
Dernière modification 16.05.2023