Les autorités internationales de protection des données tirent la sonnette d’alarme relativement à un type d’attaques qui va prospérer dans les mois à venir. Le Préposé fédéral s’associe à cette mise en garde par communiqué du 8 juillet 2022.
Il s’agit d’attaques par bourrage d’identifiants (en anglais « credential stuffing ») qui exploitent la mauvaise habitude de nombreux internautes d’utiliser les mêmes combinaisons d’identifiants, d’adresses de courriel et de mots de passe pour différents services en ligne.
Ces attaques automatisées de grande ampleur permettent à des aigrefins d’utiliser des données d’accès volées sur un site internet pour tenter d’accès à toutes sortes d’autres plateformes en ligne. En bref donc, une fois votre identité numérique volée, celle-ci est utilisée pour tenter à toute la constellation de vos services et produits utilisés au quotidien. La recrudescence de ce type d’attaques et leur professionnalisation, de même que leur industrialisation incitent les principales autorités de protection des données du monde à se mobiliser. Elles craignent en effet une latence entre le vol d’une identité et la mise en œuvre de mesures de protection.
Des lignes directrices ont été publiées (en anglais pour l’heure), pour aider les entreprises et les particuliers à appréhender la menace, à la minimiser par différentes actions, dont l’authentification à plusieurs facteurs (par exemple l’envoi d’un sms contenant un code à usage unique sur le terminal mobile de l’utilisateur empêchant de ce fait toute connexion frauduleuse depuis le web. Il ne s’agit pas, à ce stade, d’obligations légales, mais d’aides à la décision qui permettent indirectement à chacun de respecter le principe de la sécurité des données. Elles peuvent être consultées à cette adresse pour les entreprises : https://globalprivacyassembly.org/wp-content/uploads/2022/06/22-06-27-Credential-stuffing-guidelines.pdf et à cette adresse pour les particuliers : https://globalprivacyassembly.org/wp-content/uploads/2022/06/22-06-27-Credential-Stuffing-General-Public-Awareness.pdf.
Les conséquences de ces attaques sont protéiformes et importantes : une entreprise peut essuyer des pertes économiques, sa réputation peut être entachée, etc. ; quant à une personne physique, elle peut être privée d’un accès à différents services, voir ses moyens de paiement être utilisés par des tiers, etc. Concrètement, lorsqu’un accès informatique est compris, il faut partir du principe que tous les accès qui fonctionnent sur la base des mêmes informations le sont également. Cela doit nous inciter à choisir des identifiants et des mots de passe différents. Comme la paresse est humaine en cette matière, un gestionnaire de mots de passe est un choix qui devient évident.
