Avec une multitude de sites web et d’applications nécessitant des identifiants uniques – nom d’utilisateur et mot de passe – la tentation d’utiliser les mêmes informations sur toutes ces plateformes est forte.
Cependant, selon le rapport annuel 2022 sur l’exposition de l’identité par SpyCloud, après analyse de plus de 15 milliards d’identifiants compromis disponibles sur des marchés criminels clandestins, il s’avère que 65 % des mots de passe piratés étaient utilisés pour au moins deux comptes.
Pour les utilisateurs qui réutilisent les mêmes identifiants sur plusieurs plateformes, cela peut sembler un moyen astucieux d’éviter d’oublier ses mots de passe. En réalité, c’est une catastrophe en devenir.
Si l’un de ces systèmes est compromis et que vos identifiants sont interceptés, tous les autres comptes utilisant les mêmes identifiants risquent d’être également compromis. Sachant que les identifiants compromis sont vendus à bas prix sur le dark web, vous pourriez facilement être victime d’une attaque par « credential stuffing ».
Le « credential stuffing » est une cyberattaque dans laquelle des acteurs malveillants utilisent des identifiants volés à partir d’un compte ou système en ligne pour tenter d’accéder à d’autres comptes ou systèmes en ligne, sans aucun lien avec le premier.
Par exemple, un pirate pourrait accéder à votre nom d’utilisateur et mot de passe de votre compte Twitter, et utiliser ces identifiants compromis pour essayer d’accéder à un compte Paypal.
Si vous utilisez les mêmes identifiants pour Twitter et Paypal, votre compte Paypal sera alors compromis à la suite de la faille de sécurité de vos identifiants Twitter.
Si vous utilisez vos identifiants Twitter sur de nombreux comptes en ligne, ces comptes pourraient également être compromis. Ce type d’attaque est connu sous le nom de « credential stuffing » et exploite la pratique courante des utilisateurs qui réutilisent leurs identifiants sur plusieurs comptes en ligne.
Les acteurs malveillants qui mènent des attaques de « credential stuffing » utilisent généralement des robots (« bots ») pour automatiser et intensifier le processus. Cela leur permet d’utiliser un grand nombre d’identifiants compromis et de cibler plusieurs plateformes en ligne. Avec la diffusion d’identifiants compromis à la suite de violations de données et la vente de ces données sur le dark web, les attaques de « credential stuffing » sont devenues monnaie courante.
Comment fonctionne le « credential stuffing »
Une attaque par « credential stuffing » commence par l’acquisition d’identifiants compromis. Ces noms d’utilisateur et mots de passe peuvent être achetés sur le dark web, obtenus à partir de sites de diffusion de mots de passe, ou encore à partir de fuites de données et d’attaques par hameçonnage (« phishing »).
L’étape suivante consiste à configurer des robots pour tester les identifiants volés sur divers sites web. Les robots automatisés sont l’outil de prédilection des attaques de « credential stuffing », car ils peuvent effectuer des tests massifs d’identifiants sur de nombreux sites à grande vitesse et de manière discrète.
L’utilisation de bots permet aussi d’éviter les blocages d’adresse IP qui peuvent survenir après plusieurs tentatives de connexion infructueuses.
Quand une attaque de « credential stuffing » est lancée, des processus automatisés sont mis en place en parallèle pour identifier les connexions réussies. De cette manière, les attaquants obtiennent facilement les identifiants qui fonctionnent sur certains sites en ligne et les utilisent pour prendre le contrôle des comptes sur ces plateformes.
Une fois que les attaquants ont eu accès à un compte, ce qu’ils en font est à leur discrétion. Ils peuvent vendre les identifiants à d’autres pirates, voler des informations sensibles du compte, usurper l’identité de l’utilisateur, ou utiliser le compte pour effectuer des achats en ligne si un compte bancaire est compromis.
Pourquoi les attaques de « credential stuffing » sont efficaces
Le « credential stuffing » est une cyberattaque dont les taux de réussite sont relativement faibles. En effet, selon le rapport « The Economy of Credential Stuffing Attacks » d’Insikt Group, la division de recherche sur les menaces de Recorded Future, le taux de réussite moyen des attaques par « credential stuffing » se situe entre 1 et 3 %.
Malgré ces faibles taux de succès, Akamai Technologies a relevé dans son rapport « State of the Internet / Security 2021 » qu’en 2020, Akamai a enregistré 193 milliards d’attaques de « credential stuffing » à l’échelle mondiale.
Cette prolifération des attaques de « credential stuffing », et leur fréquence croissante, s’explique par l’abondance d’identifiants compromis disponibles et l’accès à des outils de bot sophistiqués, qui rendent ces attaques plus efficaces et quasiment impossibles à distinguer des tentatives de connexion humaines.
Par exemple, même avec un faible taux de réussite de seulement 1 %, si un attaquant possède 1 million d’identifiants compromis, il peut compromettre environ 10 000 comptes. D’importants volumes d’identifiants compromis sont échangés sur le dark web, et ces volumes élevés peuvent être réutilisés sur de multiples plateformes.
Ces volumes considérables d’identifiants compromis entraînent une augmentation du nombre de comptes compromis. Combiné au fait que les gens continuent de réutiliser leurs identifiants sur de nombreux comptes en ligne, les attaques de « credential stuffing » deviennent très efficaces.
« Credential Stuffing » Vs. Attaques par force brute
Bien que le « credential stuffing » et les attaques par force brute soient toutes deux des attaques de prise de contrôle de compte, et que l’Open Web Application Security Project (OWASP) considère le « credential stuffing » comme un sous-ensemble des attaques par force brute, les deux approches diffèrent dans leur mode d’exécution.
Dans une attaque par force brute, un acteur malveillant tente de prendre le contrôle d’un compte en devinant le nom d’utilisateur, le mot de passe, ou les deux. Il s’agit généralement d’essayer autant de combinaisons possibles de noms d’utilisateur et de mots de passe, sans contexte ni indice sur ce qu’ils pourraient être.
Une attaque par force brute peut utiliser des modèles de mots de passe courants ou un dictionnaire de phrases de mots de passe souvent utilisées, telles que « Qwerty », « motdepasse » ou « 12345 ». Une attaque par force brute peut réussir si l’utilisateur emploie des mots de passe faibles ou des mots de passe par défaut du système.
Une attaque de « credential stuffing », en revanche, tente de prendre le contrôle d’un compte en utilisant des identifiants compromis obtenus à partir d’autres systèmes ou comptes en ligne. Dans une attaque de « credential stuffing », l’attaquant ne devine pas les identifiants. Le succès d’une attaque de « credential stuffing » repose sur la réutilisation des mêmes identifiants par un utilisateur sur de multiples comptes en ligne.
En général, les taux de réussite des attaques par force brute sont bien inférieurs à ceux du « credential stuffing ». Les attaques par force brute peuvent être évitées en utilisant des mots de passe forts. Cependant, l’utilisation de mots de passe forts n’empêche pas le « credential stuffing » si ce même mot de passe fort est partagé entre plusieurs comptes. Le « credential stuffing » peut être évité en utilisant des identifiants uniques sur chaque compte en ligne.
Comment détecter les attaques de « credential stuffing »
Les auteurs des attaques de « credential stuffing » utilisent généralement des robots qui imitent le comportement d’utilisateurs humains, et il est souvent difficile de faire la distinction entre une tentative de connexion légitime et une tentative d’un robot. Toutefois, certains signes peuvent alerter sur une attaque de « credential stuffing » en cours.
Par exemple, une augmentation soudaine du trafic web devrait éveiller les soupçons. Dans un tel cas, il convient de surveiller les tentatives de connexion sur le site web. Si l’on constate une augmentation des tentatives de connexion sur de multiples comptes à partir de plusieurs adresses IP, ou une augmentation du taux d’échec des connexions, cela pourrait indiquer une attaque de « credential stuffing » en cours.
Un autre indicateur d’une attaque par « credential stuffing » est quand un utilisateur se plaint d’être bloqué sur son compte, ou de recevoir des notifications de tentatives de connexion infructueuses qu’il n’a pas initiées.
En outre, la surveillance de l’activité de l’utilisateur peut révéler une activité inhabituelle, telle que la modification de ses paramètres, de ses informations de profil, des transferts d’argent, ou des achats en ligne. De tels événements peuvent signaler une attaque de « credential stuffing ».
Comment se protéger contre le « credential stuffing »
Plusieurs mesures peuvent être adoptées pour éviter d’être victime d’attaques de « credential stuffing ». Celles-ci incluent:
#1. Évitez de réutiliser les mêmes identifiants sur plusieurs comptes
Le « credential stuffing » repose sur le partage des mêmes identifiants par un utilisateur sur plusieurs comptes en ligne. Il est facile de remédier à cela en utilisant des identifiants uniques pour chaque compte en ligne.
Avec des gestionnaires de mots de passe tels que Google Password Manager, les utilisateurs peuvent utiliser des mots de passe uniques et complexes sans se soucier d’oublier leurs identifiants. Les entreprises peuvent également appliquer cette règle en interdisant l’utilisation d’adresses e-mail comme nom d’utilisateur. De cette manière, les utilisateurs sont plus susceptibles d’utiliser des identifiants uniques sur différentes plateformes.
#2. Utilisez l’authentification multifacteur (MFA)
L’authentification multifacteur consiste à utiliser plusieurs méthodes pour vérifier l’identité d’un utilisateur qui tente de se connecter. Cela peut être mis en œuvre en combinant les méthodes d’authentification traditionnelles (nom d’utilisateur et mot de passe) avec un code de sécurité secret, partagé avec l’utilisateur par e-mail ou SMS, afin de confirmer son identité. C’est une méthode très efficace pour empêcher le « credential stuffing », car elle ajoute une couche de sécurité supplémentaire.
Elle peut même vous alerter quand une personne tente de compromettre votre compte, en vous envoyant un code de sécurité que vous n’avez pas demandé. L’authentification MFA est si efficace qu’une étude de Microsoft a montré que les comptes en ligne utilisant l’authentification MFA ont 99,9 % de chances en moins d’être compromis.
#3. Empreinte digitale de l’appareil
L’empreinte digitale de l’appareil peut être utilisée pour associer l’accès à un compte en ligne à un appareil spécifique. L’empreinte digitale de l’appareil identifie l’appareil utilisé pour accéder à un compte, à l’aide d’informations telles que le modèle et le numéro de l’appareil, le système d’exploitation, la langue et le pays, entre autres.
Cela crée une empreinte digitale unique qui est ensuite associée à un compte d’utilisateur. L’accès au compte avec un appareil différent n’est pas autorisé sans une autorisation accordée par l’appareil associé au compte.
#4. Surveiller les mots de passe divulgués
Lorsque les utilisateurs essaient de créer des noms d’utilisateur et des mots de passe pour une plateforme en ligne, il est possible, au-delà d’une simple vérification de la force des mots de passe, de vérifier que ces identifiants ne correspondent pas à des identifiants divulgués précédemment. Cela permet d’éviter l’utilisation d’identifiants susceptibles d’être exploités ultérieurement.
Les organisations peuvent mettre en œuvre des solutions qui surveillent les identifiants des utilisateurs, les comparent aux identifiants divulgués sur le dark web, et avertissent les utilisateurs quand une correspondance est détectée. Les utilisateurs peuvent alors être invités à vérifier leur identité par diverses méthodes, à modifier leurs identifiants, et également à activer l’authentification MFA pour renforcer la sécurité de leur compte.
#5. Hachage des identifiants
Cela consiste à brouiller les identifiants des utilisateurs avant qu’ils ne soient stockés dans une base de données. Cela permet de prévenir l’utilisation abusive des identifiants en cas de fuite de données des systèmes, car les identifiants seront stockés dans un format inutilisable.
Bien que cette méthode ne soit pas infaillible, elle peut donner aux utilisateurs le temps de modifier leurs mots de passe en cas de fuite de données.
Exemples d’attaques par « credential stuffing »
Voici quelques exemples notables d’attaques de « credential stuffing » :
- Le vol de plus de 500 000 identifiants Zoom en 2020. Cette attaque par « credential stuffing » a été exécutée en utilisant des noms d’utilisateur et mots de passe obtenus sur divers forums du dark web, les identifiants obtenus lors d’attaques datant de 2013. Les identifiants Zoom volés ont été mis à disposition sur le dark web et vendus à bas prix à des acheteurs potentiels.
- Compromission de milliers de comptes d’utilisateurs de l’Agence du revenu du Canada (ARC). En 2020, environ 5 500 comptes de l’ARC ont été compromis lors de deux attaques distinctes par « credential stuffing », empêchant les utilisateurs d’accéder aux services offerts par l’ARC.
- Compromission de 194 095 comptes d’utilisateurs de The North Face. The North Face, une entreprise de vente de vêtements de sport, a subi une attaque de « credential stuffing » en juillet 2022. L’attaque a entraîné la fuite des noms complets des utilisateurs, de leurs numéros de téléphone, de leur genre, de leurs points de fidélité, de leurs adresses de facturation et d’expédition, de la date de création de leurs comptes, et de leurs historiques d’achats.
- Attaque de « credential stuffing » sur Reddit en 2019. Plusieurs utilisateurs de Reddit ont été exclus de leurs comptes après que leurs identifiants ont été compromis lors d’attaques de « credential stuffing ».
Ces attaques soulignent la nécessité de se protéger contre de telles menaces.
Conclusion
Vous avez peut-être déjà croisé des vendeurs d’identifiants pour des plateformes de streaming comme Netflix, Hulu et Disney +, ou pour des services en ligne tels que Grammarly, Zoom et Turnitin, parmi d’autres. D’où, à votre avis, ces vendeurs tirent-ils leurs identifiants ?
Ces identifiants sont très probablement obtenus par le biais d’attaques de « credential stuffing ». Si vous utilisez les mêmes identifiants sur plusieurs comptes en ligne, il est temps de les modifier avant d’en devenir victime.
Pour renforcer votre sécurité, activez l’authentification multifacteur sur tous vos comptes en ligne, et évitez d’acheter des identifiants compromis, car cela crée un environnement favorable aux attaques de « credential stuffing ».