Publié le : 1er octobre 2020
Le service de vérification des informations d'identification divulguées de F5 (le « Service ») aide les clients qui utilisent BIG-IP à reconnaître lorsqu'une tentative de connexion à leur propriété en ligne a été effectuée avec une paire nom d'utilisateur/mot de passe qui correspond à celle qui a été volée à partir d'une propriété tierce non liée. Le client peut décider comment agir sur la base de ces informations, par exemple en demandant à l'utilisateur présumé de réinitialiser son mot de passe ou en exigeant une authentification supplémentaire de l'utilisateur présumé avant d'effectuer une action à haut risque comme l'achat d'une carte-cadeau ou un transfert de fonds. Cette déclaration de confidentialité s'applique aux données utilisées par le Service.
En vertu des lois sur la protection des données de l'UE et des juridictions similaires, F5 est un processeur des données de requête que le Service reçoit du client de F5, et le client est (ou agit au nom de) un contrôleur de ces données, dans la mesure où elles contiennent des données personnelles.
Le service est alimenté par un corpus propriétaire de paires nom d'utilisateur/mot de passe hachées connues pour être compromises. Dans la mesure où ce corpus constitue des données personnelles, F5 en est le responsable du traitement. Les informations contenues dans ce corpus proviennent principalement (i) de listes de paires nom d'utilisateur/mot de passe volées observées sur le dark web et (ii) de contributions de clients ou de chercheurs en sécurité qui autorisent F5 à utiliser les hachages nom d'utilisateur/mot de passe pour la défense collective.
Le Service recevra, sous forme de requête, des hachages dérivés d'un nom d'utilisateur et d'un mot de passe. Le Service prendra alors une mesure spécifiée par le client selon que la paire nom d'utilisateur/mot de passe est connue pour être compromise (c'est-à-dire si la paire nom d'utilisateur/mot de passe est reflétée dans le corpus d'informations d'identification divulguées qui alimente le Service). Cette action peut inclure le blocage de la tentative de connexion ou le transfert de l'utilisateur vers une page où le client effectue une autre action, comme demander une réinitialisation du mot de passe ou une authentification supplémentaire.
Si vous pensez que le Service a bloqué ou restreint de manière inappropriée votre accès à la propriété en ligne d’un client F5, veuillez contacter ce client pour demander la restauration de votre accès.
Pour exercer vos droits concernant les données de requête que F5 traite lors de la fourniture du Service à un client, veuillez contacter ce client. Pour exercer vos droits concernant d’autres données, vous pouvez contacter F5. Pour plus d'informations sur les pratiques de confidentialité de F5, veuillez consulter l' Avis de confidentialité de F5 .