Accueil Cybersécurité Attaque par « credential stuffing » sur un site d’e-commerce : les...

Attaque par « credential stuffing » sur un site d’e-commerce : les recommandations de la CNIL

La « violation du trimestre » : la CNIL donne ce rendez-vous tous les trois mois pour expliquer un incident de sécurité. Dans le dernier en date, elle fournit ses conseils pour éviter et se protéger du credential stuffing (ou bourrage d’identifiants), qui peut toucher les site d’e-commerce.
 

Dans une démarche de pédagogie auprès des entreprises, la Cnil explique : « Cette attaque se manifeste généralement par une très forte et soudaine affluence, dont la cause est un grand nombre de requêtes envoyées à destination des serveurs d’authentification des clients ». Une telle attaque, qui porte atteinte à la sécurité des données, peut avoir des conséquences importantes pour l’entreprise (pertes économiques, mauvaise réputation, etc.) et surtout pour les personnes concernées (perte d’accès au service, vol d’informations personnelles, etc.), explique-t-elle.
La plupart des sites web proposant un espace authentifié, par exemple une plateforme d’e-commerce, peut être soumis à un type d’attaque répandu, prévient la Cnil.

Après explication du mode opératoire des hackers, L’autorité délivre ensuite ses conseils pour éviter l’attaque ou prendre des mesures si elle a eu lieu : organisation d’une cellule de crise, analyse des journaux d’accès et blocage des flux suspects, information des personnes concernées par l’attaque, documentation de la violation et notification à la Cnil, prévention des futures attaques en utilisant une connexion multifacteur.

 
La première « Violation du trimestre » de la Cnil portait sur la récupération de numérios de carte bancaire par ijection SDL sur un site d’e-commerce.
 

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here