Avec autant de sites Web et d’applications nécessitant des informations d’identification utilisateur uniques, c’est-à-dire un nom d’utilisateur et un mot de passe, il peut être tentant d’utiliser les mêmes informations d’identification sur toutes ces plates-formes.
En fait, selon le rapport annuel 2022 sur l’exposition de l’identité par SpyCloud, qui a analysé plus de 15 milliards d’informations d’identification compromises disponibles sur des sites clandestins criminels, il a été constaté que 65 % des mots de passe piratés étaient utilisés pour au moins deux comptes.
Pour les utilisateurs qui réutilisent des informations d’identification sur différentes plates-formes, cela peut sembler un moyen ingénieux d’éviter d’oublier les mots de passe, mais en réalité, c’est un désastre imminent.
Dans le cas où l’un des systèmes est compromis et que vos informations d’identification sont capturées, tous les autres comptes utilisant les mêmes informations d’identification risquent d’être compromis. En gardant à l’esprit que les informations d’identification compromises sont vendues à bas prix sur le dark web, vous pourriez facilement être victime de credential stuffing.
Le credential stuffing est une cyberattaque dans laquelle des acteurs malveillants utilisent des informations d’identification volées pour un compte ou un système en ligne afin d’essayer d’accéder à d’autres comptes ou systèmes en ligne non liés.
Un exemple de ceci est un acteur malveillant accédant à votre nom d’utilisateur et mot de passe pour votre compte Twitter et utilisant ces informations d’identification compromises pour essayer d’accéder à un compte Paypal.
Dans le cas où vous utilisez les mêmes informations d’identification sur Twitter et Paypal, votre compte Paypal sera repris en raison d’une violation de vos informations d’identification Twitter.
Si vous utilisez vos informations d’identification Twitter sur plusieurs comptes en ligne, ces comptes en ligne peuvent également être compromis. Une telle attaque est connue sous le nom de credential stuffing et exploite le fait que de nombreux utilisateurs réutilisent les informations d’identification sur plusieurs comptes en ligne.
Les acteurs malveillants menant des attaques de bourrage d’informations d’identification utilisent généralement des bots pour automatiser et faire évoluer le processus. Cela leur permet d’utiliser un grand nombre d’informations d’identification compromises et de cibler plusieurs plates-formes en ligne. Les informations d’identification compromises étant divulguées à la suite de violations de données et également vendues sur le Web sombre, les attaques de bourrage d’informations d’identification sont devenues courantes.
Table des matières
Comment fonctionne le credential stuffing
Une attaque par bourrage d’informations d’identification commence par l’acquisition d’informations d’identification compromises. Ces noms d’utilisateur et mots de passe peuvent être achetés sur le dark web, accessibles à partir de sites de vidage de mots de passe ou obtenus à partir de violations de données et d’attaques de phishing.
L’étape suivante consiste à configurer des robots pour tester les informations d’identification volées sur différents sites Web. Les robots automatisés sont l’outil de choix dans les attaques de bourrage d’informations d’identification, car les robots peuvent effectuer furtivement un bourrage d’informations d’identification en utilisant un grand nombre d’informations d’identification sur de nombreux sites à grande vitesse.
Le défi d’une adresse IP bloquée après plusieurs tentatives de connexion infructueuses est également évité en utilisant des bots.
Lorsqu’une attaque par bourrage d’informations d’identification est lancée, des processus automatisés pour surveiller les connexions réussies sont également lancés en parallèle avec l’attaque par bourrage d’informations d’identification. De cette façon, les attaquants obtiennent facilement des informations d’identification qui fonctionnent sur certains sites en ligne et les utilisent pour prendre le contrôle d’un compte sur les plateformes.
Une fois que les attaquants ont eu accès à un compte, ce qu’ils peuvent en faire est à leur discrétion. Les attaquants peuvent vendre les informations d’identification à d’autres attaquants, voler des informations sensibles du compte, valider l’identité ou utiliser le compte pour effectuer des achats en ligne au cas où un compte bancaire serait compromis.
Pourquoi les attaques de credential stuffing sont efficaces
Le Credential Stuffing est une cyberattaque avec des taux de réussite très faibles. En fait, selon le rapport The Economy of Credential Stuffing Attacks d’Insikt Group, qui est la division de recherche sur les menaces de Recorded Future, le taux de réussite moyen des attaques par credential stuffing se situe entre 1 et 3 %.
Même si ses taux de réussite sont faibles, Akamai Technologies, dans son rapport 2021 sur l’état de l’Internet / la sécurité, a noté qu’en 2020, Akamai a vu 193 milliards d’attaques de bourrage d’informations d’identification dans le monde.
La raison du nombre élevé d’attaques de bourrage d’informations d’identification et pourquoi elles deviennent plus fréquentes est due au nombre d’informations d’identification compromises disponibles et à l’accès à des outils de bot avancés qui rendent les attaques de bourrage d’informations d’identification plus efficaces et presque impossibles à distinguer des tentatives de connexion humaines.
Par exemple, même avec un faible taux de réussite de seulement 1 %, si un attaquant a 1 million d’informations d’identification compromises, il peut compromettre environ 10 000 comptes. De grands volumes d’informations d’identification compromises sont échangés sur le dark web, et ces volumes élevés d’informations d’identification compromises peuvent être réutilisés sur plusieurs plates-formes.
Ces volumes élevés d’informations d’identification compromises entraînent une augmentation du nombre de comptes compromis. Ceci, associé au fait que les gens continuent de réutiliser leurs informations d’identification sur plusieurs comptes en ligne, les attaques de bourrage d’informations d’identification deviennent très efficaces.
Credential Stuffing Vs. Attaques par force brute
Bien que le credential stuffing et les attaques par force brute soient toutes deux des attaques de prise de contrôle de compte et que l’Open Web Application Security Project (OWASP) considère le credential stuffing comme un sous-ensemble d’attaques par force brute, les deux diffèrent dans la manière dont elles sont exécutées.
Dans une attaque par force brute, un acteur malveillant tente de prendre le contrôle d’un compte en devinant le nom d’utilisateur ou le mot de passe ou les deux. Cela se fait généralement en essayant autant de combinaisons de nom d’utilisateur et de mot de passe possibles sans aucun contexte ni indice sur ce qu’elles peuvent être.
Une force brute peut utiliser des modèles de mot de passe couramment utilisés ou un dictionnaire de phrases de mot de passe couramment utilisées telles que Qwerty, mot de passe ou 12345. Une attaque par force brute peut réussir si l’utilisateur utilise des mots de passe faibles ou des mots de passe par défaut du système.
Une attaque de bourrage d’informations d’identification, en revanche, tente de prendre le contrôle d’un compte en utilisant des informations d’identification compromises obtenues à partir d’autres systèmes ou comptes en ligne. Dans une attaque de bourrage d’informations d’identification, l’attaque ne devine pas les informations d’identification. Le succès d’une attaque de credential stuffing repose sur la réutilisation par un utilisateur de ses informations d’identification sur plusieurs comptes en ligne.
En règle générale, les taux de réussite des attaques par force brute sont bien inférieurs à ceux du credential stuffing. Les attaques par force brute peuvent être évitées en utilisant des mots de passe forts. Cependant, l’utilisation de mots de passe forts ne peut pas empêcher le credential stuffing dans le cas où le mot de passe fort est partagé entre plusieurs comptes. Le bourrage d’informations d’identification est évité en utilisant des informations d’identification uniques sur les comptes en ligne.
Comment détecter les attaques de bourrage d’informations d’identification
Les acteurs de la menace de bourrage d’informations d’identification utilisent généralement des bots qui imitent des agents humains, et il est souvent très difficile de distinguer une tentative de connexion d’un vrai humain d’une tentative d’un bot. Cependant, il existe encore des signes qui peuvent signaler une attaque de bourrage d’informations d’identification en cours.
Par exemple, une augmentation soudaine du trafic Web devrait éveiller les soupçons. Dans un tel cas, surveillez les tentatives de connexion au site Web, et en cas d’augmentation des tentatives de connexion sur plusieurs comptes à partir de plusieurs adresses IP ou d’une augmentation du taux d’échec de connexion, cela pourrait indiquer une attaque de bourrage d’informations d’identification en cours.
Un autre indicateur d’une attaque par credential stuffing est que l’utilisateur se plaint d’être bloqué sur son compte ou de recevoir des notifications sur des tentatives de connexion infructueuses qui n’ont pas été effectuées par lui.
En outre, surveillez l’activité de l’utilisateur et, si vous remarquez une activité inhabituelle de l’utilisateur, telle que la modification de ses paramètres, ses informations de profil, ses transferts d’argent et ses achats en ligne, cela pourrait signaler une attaque de credential stuffing.
Comment se protéger contre le credential stuffing
Plusieurs mesures peuvent être prises pour éviter d’être victime d’attaques de bourrage d’informations d’identification. Ceci comprend:
#1. Évitez de réutiliser les mêmes informations d’identification sur plusieurs comptes
Le bourrage d’informations d’identification dépend du partage d’informations d’identification par un utilisateur sur plusieurs comptes en ligne. Cela peut facilement être évité en utilisant des informations d’identification uniques sur différents comptes en ligne.
Avec les gestionnaires de mots de passe tels que Google Password Manager, les utilisateurs peuvent toujours utiliser des mots de passe uniques et identiques sans se soucier d’oublier leurs informations d’identification. Les entreprises peuvent également appliquer cette règle en empêchant l’utilisation des e-mails comme noms d’utilisateur. De cette façon, les utilisateurs sont plus susceptibles d’utiliser des informations d’identification uniques sur différentes plates-formes.
#2. Utiliser l’authentification multifacteur (MFA)
L’authentification multifactorielle est l’utilisation de plusieurs méthodes pour authentifier l’identité d’un utilisateur essayant de se connecter. Cela peut être mis en œuvre en combinant les méthodes d’authentification traditionnelles d’un nom d’utilisateur et d’un mot de passe, ainsi qu’un code de sécurité secret partagé avec les utilisateurs par e-mail ou SMS. pour confirmer davantage leur identité. Ceci est très efficace pour empêcher le credential stuffing car il ajoute une couche de sécurité supplémentaire.
Il peut même vous avertir lorsque quelqu’un essaie de compromettre votre compte, car vous obtiendrez un code de sécurité sans en faire la demande. L’authentification MFA est si efficace qu’une étude de Microsoft a établi que les comptes en ligne sont 99,9 % moins susceptibles d’être compromis s’ils utilisent l’authentification MFA.
#3. Empreinte digitale de l’appareil
L’empreinte digitale de l’appareil peut être utilisée pour associer l’accès à un compte en ligne à un appareil particulier. L’empreinte digitale de l’appareil identifie l’appareil utilisé pour accéder à un compte à l’aide d’informations telles que le modèle et le numéro de l’appareil, le système d’exploitation utilisé, la langue et le pays, entre autres.
Cela crée une empreinte digitale de périphérique unique qui est ensuite associée à un compte d’utilisateur. L’accès au compte à l’aide d’un appareil différent n’est pas autorisé sans l’autorisation accordée par l’appareil associé au compte.
#4. Surveiller les mots de passe divulgués
Lorsque les utilisateurs essaient de créer des noms d’utilisateur et des mots de passe pour une plate-forme en ligne plutôt que de simplement vérifier la force des mots de passe, les informations d’identification peuvent être contre-vérifiées par rapport aux mots de passe divulgués publiés. Cela permet d’éviter l’utilisation d’informations d’identification susceptibles d’être exploitées ultérieurement.
Les organisations peuvent mettre en œuvre des solutions qui surveillent les informations d’identification des utilisateurs par rapport aux informations d’identification divulguées sur le dark web et avertissent les utilisateurs chaque fois qu’une correspondance est trouvée. Les utilisateurs peuvent ensuite être invités à vérifier leur identité par le biais de diverses méthodes, à modifier leurs informations d’identification et également à mettre en œuvre MFA pour protéger davantage leur compte.
#5. Hachage des identifiants
Cela implique de brouiller les informations d’identification des utilisateurs avant qu’elles ne soient stockées dans une base de données. Cela aide à protéger contre l’utilisation abusive des informations d’identification en cas de violation des données des systèmes, car les informations d’identification seront stockées dans un format qui ne peut pas être utilisé.
Bien que ce ne soit pas une méthode infaillible, cela peut donner aux utilisateurs le temps de changer leurs mots de passe en cas de violation de données.
Exemples d’attaques par credential stuffing
Voici quelques exemples notables d’attaques de bourrage d’informations d’identification :
- Le vol de plus de 500 000 informations d’identification Zoom en 2020. Cette attaque de bourrage d’informations d’identification a été exécutée à l’aide de noms d’utilisateur et de mots de passe obtenus sur divers forums Web sombres, les informations d’identification obtenues lors d’attaques remontant à 2013. Les informations d’identification de zoom volées ont été mises à disposition sur le dark Web et vendu à bas prix à des acheteurs volontaires
- Compromis sur des milliers de comptes d’utilisateurs de l’Agence du revenu du Canada (ARC). En 2020, environ 5 500 comptes de l’ARC ont été compromis dans deux attaques d’identifiants distinctes, ce qui a empêché les utilisateurs d’accéder aux services offerts par l’ARC.
- Compromis de 194 095 comptes d’utilisateurs The North Face. The North Face est une entreprise qui vend des vêtements de sport et qui a subi une attaque de credential stuffing en juillet 2022. L’attaque a entraîné la fuite du nom complet de l’utilisateur, de son numéro de téléphone, de son sexe, de ses points de fidélité, de son adresse de facturation et d’expédition, de la date de création du compte, et l’historique des achats.
- Attaque de bourrage d’informations d’identification de Reddit en 2019. Plusieurs utilisateurs de Reddit ont été exclus de leurs comptes après que leurs informations d’identification ont été compromises par des attaques de bourrage d’informations d’identification.
Ces attaques soulignent l’importance de la nécessité de se protéger contre des attaques similaires.
Conclusion
Vous avez peut-être rencontré des vendeurs d’informations d’identification sur des sites de streaming tels que Netflix, Hulu et disney + ou des services en ligne tels que Grammarly, Zoom et Turnitin, entre autres. Où pensez-vous que les vendeurs obtiennent les informations d’identification ?
Eh bien, ces informations d’identification sont probablement obtenues par des attaques de bourrage d’informations d’identification. Si vous utilisez les mêmes informations d’identification sur plusieurs comptes en ligne, il est temps de les modifier avant de devenir une victime.
Pour vous protéger davantage, implémentez l’authentification multifacteur sur tous vos comptes en ligne et évitez d’acheter des informations d’identification compromises, car cela crée un environnement propice aux attaques de bourrage d’informations d’identification.