Publié: 1er octobre 2020
Le service Leaked Credential Check de F5 (le « service ») aide les clients utilisant BIG-IP à reconnaître lorsqu’une tentative de connexion à leur propriété en ligne a été faite avec une paire nom d’utilisateur/mot de passe qui correspond à une paire volée dans une propriété tierce non apparentée. Le client peut décider de la manière de réagir à cette information, par exemple en demandant au prétendu utilisateur de réinitialiser son mot de passe, ou en exigeant de lui une authentification supplémentaire avant d’effectuer une action à haut risque comme un achat de carte cadeau ou un transfert de fonds. Cette déclaration de confidentialité s’applique aux données que le service utilise.
Au regard des lois sur la protection des données de l’UE et de juridictions similaires, F5 est un sous-traitant des données de requêtes que le service reçoit depuis le client de F5, et le client est (ou agit au nom de) un contrôleur de ces données, dans la mesure où elles contiennent des données personnelles.
Le service est alimenté par un corpus propriétaire haché de paires de noms d’utilisateur/mot de passe notoirement compromis. Dans la mesure où ce corpus constitue des données personnelles, F5 est son contrôleur. Les informations contenues dans ce corpus proviennent principalement (i) de listes de paires de noms d’utilisateurs/mots de passe volés vues sur le dark web et (ii) de contributions de clients ou de chercheurs en sécurité qui autorisent F5 à utiliser des hachages de noms d’utilisateurs/mots de passe pour la défense collective.
Le service recevra, sous forme de requête, des hachages dérivés d’un nom d’utilisateur et d’un mot de passe. Le service prendra alors une mesure spécifiée par le client en fonction de la compromission connue de la paire nom d’utilisateur/mot de passe (c’est-à-dire si la paire nom d’utilisateur/mot de passe est reflétée dans le corpus de données d’identification ayant fait l’objet d’une fuite qui alimente le service). Cette action peut inclure le blocage de la tentative de connexion ou la redirection de l’utilisateur vers une page où le client pourra effectuer d’autres actions, comme une demande de réinitialisation de mot de passe ou d’authentification supplémentaire.
Si vous pensez que le service a indûment bloqué ou limité votre accès à la propriété en ligne d’un client de F5, veuillez contacter ce client pour demander le rétablissement de votre accès.
Pour exercer vos droits en ce qui concerne les données de requêtes que F5 traite lors de la fourniture du service à un client, veuillez contacter ce client. Pour exercer vos droits en ce qui concerne d’autres données, vous pouvez contacter F5. Pour plus d’informations sur les pratiques de F5 en matière de protection de la confidentialité, veuillez consulter l’avis de confidentialité de F5.