Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Annonce

Publication de lignes directrices par des autorités internationales chargées de la protection des données :

Permettre aux entreprises et aux particuliers de se protéger contre les cyberattaques qui exploitent la réutilisation de mots de passe

Le 30 juin 2022

Le Commissariat à la protection de la vie privée du Canada et plusieurs organismes internationaux de réglementation de la protection des données et de la vie privée ont fait équipe en vue de publier des lignes directrices sur les « attaques par bourrage d’identifiants », afin de lutter contre une grave cybermenace mondiale grandissante pour les renseignements personnels.

Une attaque par bourrage d’identifiants exploite la tendance courante à réutiliser les mêmes noms d’utilisateur, adresses de courriel et mots de passe pour plusieurs comptes. Cette pratique permet aux pirates informatiques d’utiliser des justificatifs d’identité précédemment volés d’un site Web en particulier pour accéder aux comptes d’utilisateurs de plusieurs autres sites en ligne. Des recherches (en anglais seulement) menées par la société de cybersécurité et de services infonuagiques Akamai révèlent que des centaines de millions d’attaques de ce type se produisent chaque jour.

Les autorités chargées de la protection des données du Canada, de Gibraltar, de Jersey, de la Suisse, de la Türkiye et du Royaume-Uni ont travaillé ensemble dans le cadre du Groupe de travail sur la coopération internationale en matière d’application de la loi de l’Assemblée mondiale pour la protection de la vie privée afin d’élaborer des lignes directrices visant à permettre aux particuliers et aux entreprises de déceler cette pratique malveillante, de la prévenir et de s’en protéger.

Dans les lignes directrices à l’intention des particuliers, on propose notamment les mesures suivantes :

  • Éviter d’utiliser des mots de passe prévisibles et recourir à l’authentification multifactorielle dans la mesure du possible.
  • Changer immédiatement son mot de passe, ainsi que celui de tout autre compte protégé par le même mot de passe ou un mot de passe similaire, si un de ses comptes en ligne est compromis.
  • Communiquer immédiatement avec les institutions financières concernées si des informations financières liées à un compte ont été compromises ou sont soupçonnées de l’avoir été.

Les lignes directrices destinées aux entreprises visent à leur permettre de cerner les menaces que représentent les attaques par bourrage d’identifiants pour les données personnelles en leur possession et à expliquer les mesures qu’elles peuvent prendre pour atténuer les risques en la matière.

Bien que ces lignes directrices ne constituent pas des obligations légales pour tous les pays, elles peuvent aider les organisations à se conformer aux lois en matière de protection des données et des renseignements personnels, qui les obligent à protéger les renseignements personnels contre les menaces que représentent les attaques par bourrage d’identifiants.

Par exemple, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada, prévoit un certain nombre d’obligations pour les organisations qui y sont assujetties afin de s’assurer qu’elles protègent les renseignements personnels sous leur responsabilité au moyen de mesures de sécurité appropriées qui tiennent compte de la sensibilité des renseignements.

Documents connexes

Groupe de travail sur la coopération internationale en matière d’application de la loi : Sensibilisation au bourrage d’identifiants

Groupe de travail sur la coopération internationale en matière d’application de la loi : Lignes directrices sur le bourrage d’identifiants

 

 

 

 

Date de modification :