Près de 500 millions de comptes Zoom sont actuellement mis en vente sur le dark web, une conséquence du « credential stuffing ». Cette méthode, fréquemment utilisée par les cybercriminels, leur permet d’accéder illégalement à des comptes en ligne. Décortiquons ce concept et examinons les mesures de protection à adopter.
L’origine: les fuites de bases de données de mots de passe
Les attaques ciblant les services en ligne sont malheureusement courantes. Les pirates informatiques exploitent les failles de sécurité pour dérober des bases de données contenant les noms d’utilisateur et mots de passe. Ces informations de connexion volées sont ensuite souvent vendues sur le dark web, les acheteurs réglant en Bitcoins pour accéder à ces précieux fichiers.
Prenons l’exemple d’un compte sur le forum Avast, qui a été compromis en 2014. Votre nom d’utilisateur et votre mot de passe du forum Avast pourraient donc se retrouver entre les mains de pirates. Bien qu’Avast vous ait alerté et vous ait incité à changer votre mot de passe, le risque persiste.
Le problème majeur réside dans la réutilisation fréquente du même mot de passe sur plusieurs sites. Imaginons que vos identifiants pour le forum Avast soient « vous@example.com » et « MotDePasseComplexe ». Si vous utilisez ces mêmes informations sur d’autres plateformes, tout cybercriminel ayant mis la main sur ces données peut potentiellement accéder à vos autres comptes.
Le « credential stuffing » en pratique
Le « credential stuffing » consiste à exploiter ces bases de données compromises pour tenter de se connecter à d’autres services en ligne.
Les pirates informatiques se procurent d’importantes bases de données contenant des combinaisons de noms d’utilisateur et de mots de passe compromis – parfois des millions d’identifiants – et les testent sur divers sites web. Comme de nombreuses personnes ont tendance à réutiliser les mêmes mots de passe, certaines combinaisons fonctionneront. Cette opération peut être automatisée par des logiciels, ce qui permet de tester rapidement de nombreuses combinaisons d’identifiants.
Bien que cette technique puisse sembler complexe, elle est en fait assez simple : il s’agit de réutiliser des informations d’identification compromises sur d’autres plateformes et de vérifier si cela fonctionne. Les « hackers » injectent ces identifiants dans les formulaires de connexion et observent les résultats. Il est inévitable que certaines tentatives aboutissent.
Il s’agit aujourd’hui d’une des méthodes les plus courantes utilisées par les pirates pour « hacker » des comptes en ligne. Rien qu’en 2018, le réseau de diffusion de contenu Akamai a enregistré près de 30 milliards d’attaques par « credential stuffing ».
Comment se protéger
Se prémunir contre le « credential stuffing » est relativement simple et repose sur les mêmes bonnes pratiques de sécurité des mots de passe préconisées depuis des années par les experts en sécurité. Il n’existe pas de solution miracle : seule une bonne hygiène des mots de passe est efficace. Voici les principaux conseils :
- Éviter la réutilisation des mots de passe : Utilisez un mot de passe unique pour chaque compte en ligne. De cette manière, même si un mot de passe est compromis, il ne pourra pas être utilisé sur d’autres plateformes. Les pirates pourront toujours tenter de l’utiliser, mais leurs efforts seront vains.
- Utiliser un gestionnaire de mots de passe : Mémoriser des mots de passe uniques et complexes est une tâche quasi impossible si vous possédez de nombreux comptes en ligne. C’est pourquoi il est fortement recommandé d’utiliser un gestionnaire de mots de passe comme 1Password (payant) ou Bitwarden (gratuit et open-source). Ces outils se chargeront de mémoriser vos mots de passe et peuvent même générer des mots de passe complexes pour vous.
- Activer l’authentification à deux facteurs : Avec l’authentification en deux étapes, vous devrez fournir une information supplémentaire, comme un code généré par une application ou envoyé par SMS, à chaque connexion à un site web. Ainsi, même si un pirate a votre nom d’utilisateur et mot de passe, il ne pourra pas se connecter sans ce code supplémentaire.
- Recevoir des notifications en cas de fuite de mots de passe : Des services tels que Ai-je été pwned ? peuvent vous alerter si vos informations d’identification apparaissent dans une base de données compromise.
Comment les services en ligne peuvent se protéger
Si les utilisateurs doivent prendre leurs responsabilités en matière de sécurité de leurs comptes, les services en ligne peuvent également mettre en place des mesures pour se protéger contre les attaques par « credential stuffing ».
- Analyser les bases de données compromises : Des entreprises comme Facebook et Netflix ont procédé à l’analyse de bases de données divulguées afin de détecter les mots de passe identiques à ceux utilisés par leurs propres utilisateurs. Si une correspondance est trouvée, Facebook ou Netflix peuvent inciter l’utilisateur concerné à modifier son mot de passe.
- Proposer l’authentification à deux facteurs : Les utilisateurs doivent avoir la possibilité d’activer l’authentification à deux facteurs afin de renforcer la sécurité de leurs comptes. Les services particulièrement sensibles peuvent même rendre cette mesure obligatoire. Une autre méthode consiste à exiger de l’utilisateur qu’il clique sur un lien de vérification envoyé par e-mail pour confirmer la tentative de connexion.
- Exiger un CAPTCHA : Si une tentative de connexion semble suspecte, un service peut exiger la saisie d’un code CAPTCHA (image ou autre vérification) pour confirmer qu’il s’agit bien d’un être humain et non d’un robot.
- Limiter les tentatives de connexion répétées : Les services doivent empêcher les robots de tenter un grand nombre de connexions dans un court laps de temps. Des robots plus sophistiqués peuvent même se connecter depuis plusieurs adresses IP simultanément afin de masquer leurs tentatives de « credential stuffing ».
De mauvaises pratiques en matière de mots de passe, combinées à des systèmes en ligne mal sécurisés et trop vulnérables, font du « credential stuffing » une menace majeure pour la sécurité des comptes en ligne. Il n’est donc pas surprenant que de nombreuses entreprises du secteur technologique cherchent à bâtir un avenir plus sûr, sans mot de passe.