Publié: 1er juillet 2020
Le service Blackfish de F5 (le « service ») aide les clients à reconnaître lorsqu'une tentative de connexion à leur propriété en ligne a été faite avec une paire de nom d'utilisateur/mot de passe qui correspond à une paire volée dans une propriété tierce non apparentée. Le client peut décider de la manière de réagir à cette information, par exemple en demandant au prétendu utilisateur de réinitialiser son mot de passe, ou en exigeant de lui une authentification supplémentaire avant d'effectuer une action à haut risque comme un achat de carte cadeau ou un transfert de fonds. Cette déclaration de confidentialité s'applique aux données que le service utilise.
En regard des lois sur la protection des données de l'UE et de juridictions similaires, F5 est un sous-traitant des données de requêtes que le service reçoit depuis le client de F5, et le client est (ou agit au nom de) un contrôleur de ces données, dans la mesure où elles contiennent des données personnelles.
Le service est alimenté par un corpus propriétaire haché de paires de noms d'utilisateur/mot de passe connus pour être compromis. Dans la mesure où ce corpus constitue des données personnelles, F5 est son contrôleur. Les informations contenues dans ce corpus proviennent principalement (i) de listes de paires de noms d'utilisateurs/mots de passe volés vues sur le dark web et (ii) de contributions de clients ou de chercheurs en sécurité qui autorisent F5 à utiliser des hachages de noms d'utilisateurs/mots de passe pour la défense collective.
Le service est disponible dans plusieurs modèles de déploiement et de nombreuses configurations de données. Toutefois, en règle générale, le service reçoit comme requête soit (i) un nom d'utilisateur et un mot de passe haché, (ii) un hachage des deux, ou (iii) un hachage d'une chaîne qui inclut les deux. Le service indiquera alors au client si la paire nom d'utilisateur/mot de passe est connue pour être compromise (c'est-à-dire si la paire nom d'utilisateur/mot de passe est reflétée dans le corpus Blackfish). Dans certaines itérations du service, le client et F5 utilisent des mesures de sécurité avancées pour obtenir le même résultat tout en évitant la divulgation des mots de passe ou des mots de passe hachés.
Si vous pensez que le service a indûment bloqué ou limité votre accès à la propriété en ligne d'un client de F5, veuillez contacter ce client pour demander le rétablissement de votre accès.
Pour exercer vos droits en ce qui concerne les données des requêtes que F5 traite lors de la fourniture du service à un client, veuillez contacter ce client. Pour exercer vos droits en ce qui concerne d'autres données, vous pouvez contacter F5. Pour plus d'informations sur les pratiques de F5 en matière de protection de la confidentialité, veuillez consulter l'avis de confidentialité de F5.