Le  » Credential stuffing  » a fait la une des journaux ces dernières années et est rapidement devenu la méthode d’attaque privilégiée des cybercriminels.

Entre le 1er janvier 2018 et le 31 décembre 2019, Akamai Technologies a enregistré plus de 88 milliards d’attaques, tous secteurs confondus. Ce chiffre ne devrait qu’augmenter avec l’augmentation des violations de données et le passage massif aux services en ligne pendant la pandémie de Covid-19.

Les attaques de type « Credential stuffing » se produisent lorsque des criminels utilisent de grandes quantités de noms d’utilisateur et de mots de passe volés pour accéder frauduleusement à des comptes d’utilisateurs. Ces informations sont généralement obtenues sur le dark web à la suite d’une des nombreuses violations de données d’entreprise.

À l’aide de bots à grande échelle et d’outils d’automatisation spécialisés, les pirates peuvent ensuite utiliser ces informations d’identification volées pour tenter d’effectuer de multiples demandes de connexion sur différents sites. Ce type d’attaque est relativement facile à exécuter et repose en grande partie sur la réutilisation du même mot de passe.

Il s’agit en fait d’un type d’attaque par force brute, mais au lieu de deviner des combinaisons de mots de passe aléatoires, elle utilise des informations d’identification légitimes, ce qui améliore le taux de réussite global.

Comme pour la plupart des cyberattaques, la motivation première est financière. Les pirates tenteront de monnayer les comptes compromis en accédant aux comptes bancaires liés, ou ils utiliseront les données personnelles pour commettre une usurpation d’identité.

Qu’est-ce qui alimente la croissance des attaques de type « Credential Stuffing » ?

Qu'est-ce qui alimente la croissance des attaques de type

Il s’agit tout simplement des milliards d’informations d’identification compromises que l’on peut facilement acheter sur le dark web. Le site HaveIBeenPwned.com recense plus de 8,5 milliards d’informations d’identification compromises provenant de plus de 400 violations de données, et certaines de ces violations sont absolument colossales.

L’exemple le plus notable est la méga-faille de Collection #1. La brèche a été révélée en 2019, exposant 1,2 milliard d’adresses électroniques et de combinaisons de mots de passe uniques, 773 millions d’adresses électroniques uniques et 21 millions de mots de passe.

Cet accès facile à de vastes quantités de données permet aux pirates de tester des millions de combinaisons différentes d’adresses électroniques et de mots de passe dans l’espoir que les utilisateurs auront réutilisé le même mot de passe.

La sophistication croissante des outils utilisés par les pirates pour lancer ces attaques a également facilité la multiplication des tentatives de connexion en faisant croire qu’elles proviennent de différentes adresses IP.

Quels sont les secteurs touchés par les attaques de type « Credential Stuffing » ?

Tous les secteurs d’activité sont la cible d’attaques de type « credential stuffing », mais certains sont plus sensibles que d’autres. Les secteurs les plus visés sont le commerce électronique, la vente au détail, les services financiers, les loisirs, l’enseignement supérieur et les services de santé.

Le secteur des services financiers a été particulièrement touché et, en septembre de cette année, le FBI a mis en garde les organisations du secteur financier contre la recrudescence de ces attaques. L’agence a constaté que 41 % de toutes les attaques du secteur financier entre 2017 et 2020 étaient dues au bourrage d’informations d’identification, entraînant la perte de millions de dollars.

Ces types d’attaques peuvent avoir des conséquences dévastatrices pour les entreprises : perte de revenus, temps d’arrêt opérationnel, atteinte à la réputation, pénalités financières et perte de clients.

Exemples d’attaques récentes de type « Credential Stuffing » (bourrage de données d’identification)

Le nombre de violations de données résultant d’attaques d’informations d’identification a considérablement augmenté. En voici quelques exemples récents :

  • Dunkin Donuts – En février 2019, Dunkin Donuts a confirmé avoir subi une attaque de credential stuffing, la deuxième en l’espace de trois mois. Dans les deux attaques, les pirates ont utilisé des identifiants volés qui ont été divulgués sur d’autres sites pour accéder aux comptes de récompenses DD Perks. Une fois entrés, ils ont pu accéder aux nom et prénom des utilisateurs, à leur adresse électronique, à leur numéro de compte DD Perks et au code QR DD Perks. Dans cette attaque spécifique, ce ne sont pas les informations personnelles de l’utilisateur que les pirates recherchaient, mais le compte lui-même, qu’ils ont ensuite vendu sur le dark web.
  • Nintendo – En avril 2020, Nintendo a annoncé que 160 000 comptes avaient été violés dans le cadre d’une attaque par  » credential stuffing « . En utilisant les identifiants et les mots de passe précédemment exposés, les pirates ont pu accéder aux comptes des utilisateurs, ce qui leur a permis d’acheter des articles numériques à l’aide de cartes stockées. Ils ont également pu consulter des données sensibles telles que le nom, l’adresse électronique, la date de naissance, le sexe et le pays.

Comment éviter le bourrage de données d’identification

Sécurité des mots de passe

Prévenir le bourrage d'identité (Credential Stuffing) mots de passe forts

Nous savons tous qu’il est important d’utiliser des mots de passe forts et uniques. Pourtant, selon une récente enquête sur la sécurité menée par Google, 65 % des personnes utilisent le même mot de passe pour plusieurs comptes.

Il s’agit d’une pratique extrêmement risquée, car les attaques de type « credential stuffing » reposent en grande partie sur l’utilisation des mêmes vieux mots de passe réutilisés. C’est peut-être quelque chose que vous avez l’intention de faire, mais cela vaut la peine de faire un nettoyage numérique et de créer des mots de passe uniques pour chacun de vos comptes en ligne.

Un bon moyen de créer un mot de passe plus long et plus complexe est d’utiliser une phrase de passe. Une phrase de passe est une suite de mots, semblable à une phrase, que vous pouvez mémoriser, mais qui est difficile à déchiffrer pour quelqu’un d’autre. La première lettre de chaque mot constituera la base de votre mot de passe et les lettres peuvent être remplacées par des chiffres et des symboles pour le rendre encore plus sûr.

Utilisez un gestionnaire de mots de passe

Si l’idée de devoir retenir plusieurs mots de passe vous effraie, un gestionnaire de mots de passe peut être la solution. Un gestionnaire de mots de passe fournit un emplacement centralisé et crypté qui conservera un enregistrement de tous vos mots de passe en toute sécurité.

Les gestionnaires de mots de passe stockent les données de connexion de tous les sites web que vous utilisez et vous connectent automatiquement chaque fois que vous revenez sur un site. La première étape de l’utilisation d’un gestionnaire de mots de passe consiste à créer un mot de passe principal. Le mot de passe principal contrôlera l’accès à l’ensemble de votre base de données de mots de passe. Ce mot de passe est le seul dont vous devrez vous souvenir, il est donc important de le rendre aussi fort et sûr que possible.

Les gestionnaires de mots de passe peuvent également vous protéger contre les attaques par hameçonnage, car ils remplissent les informations relatives à votre compte en se basant sur les adresses web que vous avez enregistrées. Cela signifie que si vous pensez être sur le site web de votre banque, mais que le gestionnaire de mots de passe ne vous connecte pas automatiquement, il se peut que vous soyez tombé par inadvertance sur un site d’hameçonnage.

Mettre en œuvre l’authentification multifactorielle

Prévenir le bourrage d'identité MFA

L’authentification multifactorielle, également connue sous le nom de MFA, est l’un des meilleurs moyens de protéger la sécurité de vos comptes en ligne. En fait, selon Microsoft, votre compte a 99,9 % de chances en moins d’être compromis si vous utilisez l’AFM.

Au lieu de confirmer votre identité par un simple nom d’utilisateur et un mot de passe, vous devrez fournir deux ou plusieurs facteurs d’authentification auxquels vous êtes le seul à avoir accès. Cela réduit le risque qu’un pirate informatique puisse accéder facilement à vos comptes.

Il existe de nombreuses technologies d’authentification différentes qui peuvent être utilisées pour confirmer votre identité et qui sont généralement basées sur quelque chose que vous savez, quelque chose que vous avez ou quelque chose que vous êtes.

Certaines de ces méthodes de vérification sont sans aucun doute plus sûres que d’autres, mais cela signifie essentiellement que même si quelqu’un vole ou devine votre mot de passe, il ne pourra pas accéder à votre compte sans un autre facteur d’authentification.

Surveiller et bloquer les tentatives de connexion suspectes

Lorsque les pirates tentent de compromettre des comptes par le biais du credential stuffing, ils utilisent souvent des bots ou d’autres outils automatisés pour saisir des milliers de données d’identification en succession rapide. Ces identifiants sont généralement répartis sur plusieurs adresses IP, ce qui rend difficile de déterminer s’il s’agit de tentatives de connexion légitimes ou de signes d’une attaque coordonnée.

Toutefois, si plusieurs tentatives de connexion échouent sur une période relativement courte, cela peut être le signe d’une attaque par  » credential stuffing « . Pour éviter cela, les services informatiques peuvent fixer une limite au nombre de tentatives de connexion qu’une même adresse IP peut effectuer dans un certain laps de temps. Ils peuvent également suivre les connexions qui aboutissent à une fraude et mettre ces adresses IP sur liste noire.

La sensibilisation à la cybersécurité pour les nuls