Qu'est-ce que le credential stuffing ? Exemples et prévention

Le credential stuffing est un nouveau type de cybermenace qui exploite un comportement courant chez les utilisateurs : l'utilisation du même mot de passe pour plusieurs comptes en ligne. Les cybercriminels exploitent cette vulnérabilité en utilisant des combinaisons de noms d'utilisateur et de mots de passe volés, souvent obtenus lors de violations antérieures, et tentent automatiquement de se connecter à grande échelle sur plusieurs plateformes et services. Bien que cette attaque diffère des autres en ce qu'elle n'implique pas les techniques sophistiquées utilisées par les pirates pour pénétrer dans les systèmes, le credential stuffing tire parti de la simplicité de l'erreur humaine, principalement le fait que les utilisateurs ne parviennent pas à créer des mots de passe uniques et sécurisés pour chacun de leurs comptes.

Cette attaque a toutefois fait frissonner la plupart des entreprises, tous secteurs confondus. Les plus touchées sont celles qui gèrent des informations sensibles sur leurs clients ou des transactions financières. Un credential stuffing réussi peut s'avérer fatal pour toute entreprise. Pour les entreprises, l'impact est multiple : elles peuvent subir des pertes financières importantes en raison de fraudes ou de transactions non autorisées, subir des dommages coûteux à leur réputation en raison de l'érosion de la confiance dans leur marque, et être potentiellement soumises à des sanctions légales et réglementaires si elles ne protègent pas les données des utilisateurs conformément aux lois sur la protection des données, telles que le règlement général sur la protection des données (RGPD) ou la loi californienne sur la protection de la vie privée des consommateurs (CCPA). En fait, en 2018 et 2019, les menaces combinées du phishing et du credential stuffing ont représenté environ la moitié de toutes les violations rendues publiques aux États-Unis.

Dans cet article, nous approfondissons tous les détails du credential stuffing, en expliquant son fonctionnement, ses différences par rapport à d'autres types d'attaques similaires, ainsi que les mesures à prendre pour le détecter, le prévenir et y répondre.

Qu'est-ce que le credential stuffing ?

Le credential stuffing est une attaque dans laquelle les pirates utilisent des identifiants, noms d'utilisateur et mots de passe volés, obtenus sur une plateforme, pour accéder sans autorisation à des comptes sur une autre plateforme. Étant donné que de nombreux utilisateurs réutilisent les mêmes identifiants sur plusieurs sites, cette technique s'avère très efficace pour les cybercriminels.

Les pirates utilisent généralement des scripts ou des bots pour envoyer des dizaines de millions de tentatives de connexion à des milliers de sites différents. Une fois qu'un pirate informatique a accès à un compte, il peut l'utiliser pour mener d'autres activités malveillantes, telles que l'usurpation d'identité ou la fraude, ou même échanger les identifiants du compte sur le dark web.

Credential Stuffing vs Brute Force Attacks

Bien que le credential stuffing et les attaques par force brute relèvent tous deux de la catégorie des cyberattaques, ils concernent en réalité le même problème : les tentatives de connexion non autorisées à des comptes d'utilisateurs. Cependant, la différence entre ces deux méthodes, bien que très similaires à première vue, réside dans leur mise en œuvre.

• Credential Stuffing : Le credential stuffing est une attaque à grande échelle. Dans ce cas, les cybercriminels volent les noms d'utilisateur et les mots de passe récupérés lors de précédentes violations de données. Ces informations sont généralement vendues sur le dark web ou échangées sur des forums de hackers. Les attaquants testent ces combinaisons d'identifiants à l'aide d'outils automatisés tels que des bots sur divers sites et services, dans l'espoir que les utilisateurs aient utilisé les mêmes identifiants pour d'autres sites. Dans la plupart des cas, les gens réutilisent leurs mots de passe pour différentes applications. La plupart des gens ont tendance à conserver les mêmes mots de passe pour différentes applications, ce qui permet aux pirates d'accéder facilement aux comptes en exploitant la réutilisation des mots de passe, sans avoir à fournir beaucoup d'efforts. À cet égard, le credential stuffing privilégie essentiellement la quantité à la qualité, car il repose sur le phishing pour exploiter les mauvaises pratiques en matière de mots de passe et tente simplement de pirater autant de comptes que possible.
• Attaque par force brute : En comparaison, l'attaque par force brute est plus ciblée et plus laborieuse. Les pirates ne s'appuient pas sur des identifiants volés, mais tentent de deviner le mot de passe de l'utilisateur en essayant différentes combinaisons de lettres, de chiffres et de symboles jusqu'à trouver la bonne. Cela peut se faire manuellement ou, plus couramment, à l'aide d'outils automatisés qui génèrent rapidement des centaines de mots de passe possibles. Les attaques par force brute ne visent qu'un seul compte, et non des centaines, ce qui les rend moins efficaces pour pirater un grand nombre de comptes. De plus, en raison des nombreuses tentatives infructueuses, il est probable que l'attaque soit détectée rapidement, de la même manière qu'un écran CAPTCHA ou un verrouillage de compte empêcherait l'attaquant de pirater le compte.

Impact du credential stuffing sur les entreprises

Le credential stuffing peut avoir des conséquences extrêmement néfastes pour les entreprises, car il entraîne toute une série de répercussions liées à la stabilité financière, à la confiance des clients et au respect des règles.

• Perte financière : L'impact le plus évident est la perte financière. Les attaques de credential stuffing réussies entraînent des transactions frauduleuses, des vols de données et des escroqueries. L'entreprise subit également des pertes importantes sous forme de coûts d'atténuation, car elle doit rembourser les clients concernés, retracer les violations grâce à des enquêtes appropriées et mettre en œuvre certaines améliorations en matière de sécurité. Pour une grande organisation, cela peut représenter des millions de dollars en très peu de temps.
• Atteinte à la réputation : Les violations par credential stuffing entraînent une érosion de la confiance des clients. En cas de violation, la nouvelle se répand rapidement et les clients perdent confiance dans la capacité de l'entreprise à protéger leurs informations personnelles. Cela peut entraîner une perte de clientèle, nuire à la fidélité à la marque et réduire à néant les efforts visant à attirer de nouveaux clients, ce qui a des conséquences à long terme pour les entreprises.
• Perturbation opérationnelle : Les perturbations opérationnelles constituent un autre sujet de préoccupation majeur. Une attaque par credential stuffing implique souvent de détourner les compétences clés de l'entreprise de son activité principale vers des tâches de gestion et d'investigation. Cela se traduit par des temps d'arrêt, une augmentation des dépenses opérationnelles et une pression sur les services clients, qui doivent répondre aux questions et résoudre les problèmes des utilisateurs concernés. La nécessité de renforcer la sécurité et de corriger les failles peut également entraîner des ralentissements temporaires des processus métier.

Cibles courantes des attaques par credential stuffing

Certaines industries sont ciblées parce que la valeur des données auxquelles l'attaquant a accès est élevée et qu'il peut facilement les monétiser.

Voici quelques-unes des cibles les plus courantes pour ce type d'attaques :

• Institutions financières : L'une des attaques les plus attractives contre les institutions financières est le credential stuffing. Les sites bancaires en ligne, les processeurs de paiement et les services fintech détiennent des informations financières sensibles ; par conséquent, l'intérêt d'attaquer ces cibles est très élevé pour les attaquants. Une fois que les cybercriminels ont accès à un compte, ils peuvent voler de l'argent, effectuer des transactions non autorisées ou vendre ces comptes à d'autres criminels. Étant donné qu'il existe un risque direct de vol sur les comptes financiers, les institutions financières sont souvent ciblées, et le credential stuffing sert souvent de précurseur à des fraudes financières majeures.
• Sites de commerce électronique : Les autres cibles privilégiées sont les boutiques en ligne ou les sites de commerce électronique. Les pirates ciblent les détaillants en ligne afin d'accéder aux comptes des clients contenant des informations sur les paiements, les détails d'expédition ou les numéros de carte de crédit enregistrés. Une fois qu'ils en ont pris possession, les pirates peuvent effectuer des achats non autorisés, voler des points de fidélité ou modifier les détails du compte afin de poursuivre leurs pratiques frauduleuses. Le fait que les plateformes de commerce électronique regorgent de comptes d'utilisateurs potentiels et exploitables les rend plus vulnérables aux attaques par credential stuffing.
• Plateformes de réseaux sociaux : Les comptes de réseaux sociaux sont souvent pris pour cible. Après avoir piraté un compte de réseau social, les pirates volent des informations personnelles et utilisent le compte pour diffuser des logiciels malveillants, des liens de phishing ou d'autres contenus malveillants. Une fois qu'il a accès à un compte de réseau social, un pirate peut continuer à se faire passer pour le propriétaire du compte, convaincre ses contacts de lui communiquer des informations sensibles ou les inciter à devenir victimes de certaines escroqueries. En effet, en raison de la popularité des réseaux sociaux dans le monde entier, une attaque réussie par credential stuffing peut avoir de graves conséquences.

Comment fonctionne le credential stuffing ?

Le credential stuffing est une forme de cyberattaque systématique et automatisée qui exploite l'utilisation d'identifiants de connexion compromis sur plusieurs plateformes. L'attaque se déroule généralement en plusieurs étapes, les attaquants utilisant des outils et des ressources facilement accessibles pour effectuer des tentatives de connexion à grande échelle.

Voici comment fonctionne généralement le credential stuffing :

1. Acquisition des identifiants : Dans une attaque de credential stuffing, l'acquisition des identifiants de connexion volés commence généralement par des combinaisons de noms d'utilisateur et de mots de passe. Ces comptes sont généralement obtenus à partir d'autres violations antérieures, d'opérations de phishing ou achetés sur des sites web du darknet. Bon nombre de ces identifiants sont divulgués dans le cadre de fuites de données gigantesques, qui peuvent parfois concerner des millions d'identifiants de compte. Grâce à ces listes, les attaquants misent sur la simple possibilité que les utilisateurs aient utilisé les mêmes identifiants de connexion ailleurs.
2. Tentatives de connexion automatisées : après avoir obtenu ces identifiants, les pirates génèrent automatiquement des tentatives de connexion sur une vaste liste de sites web et d'applications en ligne. Ces robots peuvent effectuer des milliers de tentatives de connexion en quelques secondes en saisissant les paires nom d'utilisateur/mot de passe volées sur un certain nombre de services tels que les sites bancaires en ligne, les sites de commerce électronique, les sites de réseaux sociaux et bien d'autres. L'automatisation est essentielle au credential stuffing, car elle permet aux attaquants de cibler plusieurs comptes en très peu de temps et avec un minimum d'efforts. L'idée est de tester autant d'identifiants que possible pour trouver ceux qui correspondent.
3. Connexions réussies: si l'un des identifiants volés correspond à celui d'une autre plateforme, le pirate obtient un accès non autorisé au compte. Il s'agit de l'étape de base qui différencie le credential stuffing des attaques par force brute car le credential stuffing repose sur des identifiants de connexion valides, tandis que l'attaque par force brute essaie des combinaisons de mots de passe aléatoires. Comme la plupart des gens utilisent le même mot de passe pour accéder à différentes plateformes et que de grands volumes d'identifiants sont testés, les chances de trouver une correspondance sont relativement élevées.
4. Exploitation ultérieure : une fois que l'attaquant s'est connecté avec le compte réutilisé, il existe plusieurs façons d'exploiter le compte compromis. Selon le type de compte compromis, il peut s'agir de voler des informations privées sensibles, des informations financières ou des informations de paiement. Dans le cas d'une plateforme de commerce électronique, il peut s'agir d'effectuer des achats ou des transferts non autorisés. En outre, les pirates informatiques vendraient l'accès à ces comptes compromis ou les utiliseraient simplement pour mener d'autres attaques telles que le phishing, la propagation de logiciels malveillants, entre autres, et des tentatives de credential stuffing. Les comptes d'abonnés peuvent également être revendus pour des services d'abonnement afin que d'autres personnes puissent les utiliser pour consommer gratuitement du contenu payant.

Comment réagir à un incident de credential stuffing ?

Lorsqu'une attaque de credential stuffing est détectée, il est essentiel d'agir rapidement et de manière décisive afin de limiter les dommages et de protéger les comptes des utilisateurs.

Voici comment réagir efficacement :

1. Verrouillez les comptes compromis : après avoir constaté que le compte est compromis, la première mesure à prendre consiste à verrouiller les comptes compromis. Assurez-vous que les utilisateurs compromis changent immédiatement leur mot de passe. Empêchez toute nouvelle exploitation en fermant l'accès aux comptes jusqu'à ce que l'utilisateur puisse s'identifier et réinitialiser son mot de passe.
2. Surveillez les activités inhabituelles : surveillez les changements dans le comportement des comptes et les activités de connexion. Identifiez les signaux d'alerte tels que les pics de tentatives de connexion, les accès à partir d'adresses IP inconnues ou les transactions suspectes. Utilisez des outils automatisés pour signaler les activités anormales afin de faciliter l'identification en temps réel des vulnérabilités.
3. Informez les utilisateurs concernés : soyez transparent. Contactez en temps réel tous les utilisateurs concernés par les comptes compromis et demandez-leur de modifier tous leurs mots de passe partout où ils ont été utilisés. Suggérez à l'utilisateur d'activer l'authentification multifactorielle (MFA), qui empêchera de nouvelles attaques grâce à une couche de sécurité supplémentaire.
4. Mettez en œuvre des améliorations en matière de sécurité : ajoutez des contrôles supplémentaires pour renforcer les défenses contre les attaques. Mettez en place une liste noire d'adresses IP afin de bloquer les sources connues de malfaiteurs, des défis CAPTCHA afin de contrer les robots automatisés, et des améliorations générales en matière de surveillance de la sécurité. Passez en revue les processus de connexion et appliquez des limites de fréquence afin d'empêcher les attaques automatisées à grande échelle.

Comment détecter les tentatives de credential stuffing ?

La détection précoce des tentatives de credential stuffing est un moyen essentiel de limiter les dommages qu'elles peuvent causer et implique une combinaison d'outils techniques avancés, de protocoles de sécurité et d'une surveillance vigilante.

Les organisations peuvent donc détecter et répondre aux tentatives de credential stuffing en surveillant ces signes et en utilisant les technologies de sécurité appropriées.

Voici quelques-unes des principales méthodes permettant de détecter ce type d'attaques :

• Augmentation du nombre d'échecs de connexion : l'indicateur le plus évident du credential stuffing est une augmentation soudaine du nombre d'échecs de connexion. Comme les attaquants utilisent les identifiants volés sur plusieurs comptes, beaucoup d'entre eux ne correspondent pas aux utilisateurs existants ou sont même obsolètes, ce qui entraîne de multiples échecs de connexion. C'est également l'indicateur le plus important à surveiller, car il signale souvent qu'un bot automatisé spamme des combinaisons nom d'utilisateur-mot de passe à un rythme très rapide.
• Modèles d'accès géographiques inhabituels : Les attaques par credential stuffing comprennent souvent des tentatives de connexion provenant de nombreux endroits géographiques dans un laps de temps étonnamment court. Pour dissimuler leur activité, les pirates peuvent utiliser des robots situés dans un grand nombre de régions ou de pays. Cela crée des situations où les comptes indiquent des connexions provenant de plusieurs endroits, souvent inconnus de vous. Par conséquent, surveillez les comptes présentant ce type d'anomalies géographiques.
• Utilisation accrue de robots : Les attaques sont généralement menées à l'aide de robots automatisés bots conçus pour effectuer un grand nombre de tentatives de connexion à un rythme rapide. La détection des activités non humaines est essentielle pour détecter ces attaques. Les outils d'analyse du trafic peuvent identifier les comportements de type bot, tels que les tentatives de connexion extrêmement rapides, les modèles de requêtes inhabituels ou les activités contournant les défis CAPTCHA. Les solutions de détection des bots ou l'analyse comportementale peuvent signaler les tentatives d'accès anormales, ce qui donne aux administrateurs système suffisamment de temps pour prendre des mesures d'atténuation et bloquer les activités malveillantes avant qu'elles ne compromettent les comptes.

Meilleures pratiques en matière de prévention du credential stuffing

Il est conseillé aux entreprises d'adopter diverses formes de meilleures pratiques en matière de sécurité qui renforceront la protection des comptes et minimiseront la vulnérabilité au credential stuffing. Ces mesures visent à bloquer les tentatives de connexion automatisées, à promouvoir de bonnes pratiques en matière de mots de passe et à ajouter des niveaux de défense supplémentaires.

Voici quelques bonnes pratiques pour prévenir les attaques par credential stuffing :

1. Authentification multifactorielle (MFA): La défense la plus efficace contre les attaques par credential stuffing est l'authentification multifactorielle (MFA). L'authentification multifactorielle ajoute une couche de protection supplémentaire, car elle exige une forme de vérification supplémentaire en plus du mot de passe, comme la saisie d'un code à usage unique envoyé sur le téléphone de l'utilisateur, un facteur biométrique, comme la reconnaissance d'empreintes digitales, ou une notification push. Même si les pirates parviennent à obtenir des identifiants de connexion valides, ils ne peuvent accéder à aucun compte sans un deuxième facteur ou une deuxième authentification. Il est donc beaucoup plus difficile pour les pirates de compromettre les comptes des utilisateurs.
2. Limitation du débit : Il s'agit d'une technique permettant de limiter le nombre de tentatives de connexion provenant d'une adresse IP ou d'un utilisateur particulier pendant une certaine période. Les entreprises réduisent considérablement l'efficacité de ces attaques par remplissage de crédenciaux en limitant le nombre de tentatives de connexion pouvant être effectuées dans un laps de temps très court. La limitation du débit ralentit les attaquants et rend les tests à grande échelle des identifiants fastidieux et moins efficaces.
3. Défis CAPTCHA : L'une des défenses les plus efficaces contre les attaques par credential stuffing consiste à inclure des défis CAPTCHA dans les processus de connexion. Les CAPTCHA sont utilisés pour distinguer les humains des robots en demandant à l'utilisateur de résoudre des énigmes triviales et d'accomplir des tâches faciles pour un humain, mais difficiles pour un système automatisé. Cela réduit les tentatives répétitives des robots pour se connecter à des comptes, ce qui réduit les possibilités de falsification de comptes. Les CAPTCHA sont encore plus utiles lorsqu'ils sont associés à des technologies de limitation de débit et d'autres technologies de détection des robots.
4. Politiques de sécurité des mots de passe : Cela est nécessaire pour prévenir les attaques par credential stuffing. Les organisations doivent disposer de politiques qui obligent les utilisateurs à créer des mots de passe complexes, difficiles à deviner ou à pirater. Par exemple, les organisations doivent exiger l'utilisation de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Les entreprises doivent également encourager les utilisateurs à changer fréquemment de mot de passe afin qu'ils n'utilisent pas le même mot de passe pour plusieurs comptes. La meilleure pratique pour minimiser le risque de piratage de compte consiste peut-être à former les utilisateurs à la création de mots de passe robustes et uniques.lt;/li>
5. Surveillance et détection des anomalies : Il est nécessaire de surveiller en permanence les tentatives de connexion et le comportement des utilisateurs, car les mécanismes de détection et de réponse fonctionnent en temps réel contre les attaques par credential stuffing. Le système de détection des anomalies est également utile pour signaler les schémas suspects, tels que les tentatives inhabituelles de connexion en grand nombre à partir de la même adresse IP ou plusieurs tentatives de connexion infructueuses pour un même compte. Certaines organisations utilisent des alertes pour signaler les activités suspectes et informent les utilisateurs que leurs comptes ont été verrouillés et soumis à des processus de vérification plus stricts pendant un certain temps.

Attaques par credential stuffing : exemples concrets

Dans cette section, nous allons examiner des attaques par credential stuffing réelles, ainsi que les méthodes utilisées par les pirates, leur impact sur les victimes et les leçons à en tirer pour renforcer les mesures de sécurité. L'un des cas les plus significatifs est celui de Nintendo, qui a été victime d'une importante attaque par credential stuffing en 2020 et qui démontre les dangers liés à la réutilisation des identifiants, ainsi que l'importance de mettre en place des pratiques de sécurité rigoureuses.

• Nintendo: En 2020, Nintendo a subi l'une des attaques par credential stuffing les plus dommageables après que des pirates aient exploité des données de connexion déjà compromises et utilisé des outils criminels spécialisés pour accéder sans autorisation à des milliers de comptes d'utilisateurs. Cependant, environ 160 000 comptes ont été compromis, car les pirates ont utilisé des listes de noms d'utilisateur et de mots de passe rendues publiques à la suite d'autres violations. Beaucoup d'entre eux utilisaient un seul identifiant pour leur Nintendo Network ID, ce qui a permis aux attaquants de se connecter facilement à ces comptes.
• Spotify: En 2020, Spotify a été victime d'une attaque massive par credential stuffing qui a compromis des millions de comptes. Les pirates ont utilisé des noms d'utilisateur et des mots de passe divulgués lors de précédentes violations de données pour accéder illégitimement aux comptes des utilisateurs de Spotify. Il s'agissait d'une des nombreuses attaques par credential stuffing, dans lesquelles les cybercriminels ont exploité une pratique trop courante chez de nombreux utilisateurs, qui consiste à réutiliser le même mot de passe sur plusieurs services. Une fois les identifiants divulgués obtenus, les attaquants ont utilisé des outils automatisés et des robots pour tenter de se connecter en masse aux comptes Spotify. La plupart des utilisateurs de Spotify réutilisaient des mots de passe provenant d'autres services qui avaient été piratés, rendant leurs comptes vulnérables au piratage.
• Le dilemme Deliveroo: Deliveroo, autre géant de la livraison de repas, n'a pas non plus été épargné par les attaques par credential stuffing. Des transactions mystérieuses sont apparues sur les comptes des clients, plusieurs utilisateurs se plaignant de commandes inconnues passées dans plusieurs endroits à travers le monde. Les pirates ont utilisé ces identifiants pour pirater différents comptes d'utilisateurs en exploitant le fait que la plateforme n'avait pas activé l'authentification multifactorielle pour protéger les comptes des utilisateurs. La facilité avec laquelle les pirates ont pu pirater les comptes des clients a entraîné des pertes financières et une perte de confiance dans la marque. C'est cet événement qui a révélé la nécessité de renforcer les mesures de sécurité sur ces canaux, notamment par l'authentification à deux facteurs, afin d'empêcher tout accès non autorisé aux comptes.
• La violation de Ticketfly:  En 2018, des pirates informatiques ont accédé aux données d'environ 27 millions de comptes Ticketfly à la suite d'une attaque par credential stuffing. Ils ont exploité une faille sur le site web de l'entreprise pour accéder sans autorisation à des milliers de comptes de consommateurs et d'organisateurs d'événements. La violation a permis à des personnes non autorisées d'accéder à des informations sensibles, notamment les noms d'utilisateur, les adresses e-mail et les mots de passe hachés. La violation de Ticketfly souligne la nécessité pour les entreprises de revoir régulièrement leurs mesures de sécurité, de corriger les vulnérabilités et d'inciter les utilisateurs à adopter de bonnes pratiques en matière de mots de passe.

Conclusion

Le credential stuffing est une cybermenace de plus en plus répandue contre laquelle les entreprises doivent se prémunir de manière proactive afin de sécuriser leurs opérations, les données de leurs clients et leur réputation. Étant donné que la plupart des cyberattaquants utilisent désormais des identifiants de connexion volés lors de diverses violations, les entreprises sont exposées à un risque accru de piratage de comptes, de pertes financières et de perturbations opérationnelles. La bonne nouvelle, c'est que ces risques peuvent être considérablement réduits en adoptant des pratiques et des solutions de sécurité robustes.

Comprendre le fonctionnement des attaques par credential stuffing et savoir comment mettre en place des mécanismes de défense, tels que l'authentification multifactorielle (MFA), la limitation du débit, les défis CAPTCHA et la surveillance régulière de la sécurité, peut réduire les risques d'accès non autorisé. Avec la technologie appropriée pour soutenir leurs efforts, les entreprises peuvent toujours garder une longueur d'avance sur les cybercriminels et assurer la sécurité de leurs systèmes, comptes et données.

"

FAQs