Dailymotion a révélé avoir fait l’objet d’une cyberattaque visant à compromettre les données de ses utilisateurs. La plateforme de partage de vidéos assure que l’attaque « a pu être contenue », mais certains mots de passe ont dû être réinitialisés.
La plateforme de partage de vidéos Dailymotion a annoncé être la cible d’une « attaque informatique à grande échelle visant à compromettre les données de ses utilisateurs ». La plateforme de partage de vidéos indique que l’attaque a été découverte le 19 janvier par ses équipes et qu’elle est « toujours en cours ». Toutefois, le service assure qu’elle a pu être « contenue suite à la mise en place de mesures visant à en limiter la portée ». Dans le même temps, Dailymotion a contacté « directement » les utilisateurs potentiellement affectés pour les « informer et leur apporter un conseil personnalisé ». Ces derniers ont notamment été déconnectés et leur mot de passe a été réinitialisé.
Comme l’exige le RGPD, Dailymotion a notifié la CNIL
Outre les utilisateurs, la firme a également notifié la CNIL (Commission nationale de l’informatique et des libertés) conformément aux directives du RGPD (Règlement général sur la protection des données) entré en vigueur le 25 mai 2018. L’article 33 du RGPD prévoit en effet qu’« en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente […] dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».
Concernant l’attaque, Dailymotion précise qu’elle visait à « deviner » le mot de passe de certains comptes en testant automatiquement un grand nombre de combinaisons, ou en utilisant des mots de passe volés sur d’autres sites que celui de Dailymotion. Il s’agit d’une cyberattaque de type « credential stuffing » ou « bourrage d’identifiants » en français. Déjà victime d’une faille de sécurité fin 2016, l’ex-pépite de la French Tech s’était vu infliger une amende de 50 000 euros « pour avoir insuffisamment sécurisé les données des utilisateurs inscrits sur sa plateforme ». Elle assure aujourd’hui que ses équipes travaillent activement pour mettre fin à cette attaque et renforcer la protection des données de ses utilisateurs.
