À quand remonte la dernière fois où vous avez perdu votre carte bancaire ou votre code PIN ? Imaginez maintenant ce qui se passerait si un pirate informatique trouvait vos coordonnées et les utilisait pour retirer de l'argent au supermarché. Le principe d'une attaque par credential stuffing est similaire. Un pirate informatique se procure vos identifiants et les utilise pour pirater des systèmes. Dans les attaques par force brute, les pirates tentent de deviner ou de cracker votre mot de passe. Mais le credential stuffing est différent : ils volent vos identifiants et n'ont donc pas besoin de deviner quoi que ce soit. Ils connaissent sans aucun doute vos identifiants de connexion et tentent de les utiliser sur divers sites web et services.
Saviez-vous que plus de 24 milliards de paires de noms d'utilisateur et de mots de passe circulent sur les plateformes de cybercriminalité ?
Pour savoir comment prévenir les attaques par credential stuffing, poursuivez la lecture de notre guide. Nous sommes là pour vous aider.
Que sont les attaques par credential stuffing ?
Le credential stuffing est une nouvelle méthode par laquelle un pirate acquiert vos identifiants et les utilise pour contourner l'autorisation. Il peut utiliser des bots pour automatiser ces attaques et les lancer à grande échelle. Le credential stuffing réutilise vos noms d'utilisateur et mots de passe sur plusieurs comptes. Il peut tenter plusieurs connexions et contourner plusieurs mesures de sécurité. Une attaque par credential stuffing peut également provenir de différentes adresses IP, ce qui peut la rendre plus difficile à tracer.
Comment fonctionne le credential stuffing ?
Dans le sens le plus simple, le credential stuffing se produit lorsque le pirate obtient vos identifiants à partir d'une application, d'une plateforme ou d'un service. Il tente ensuite d'utiliser ces informations pour pirater et prendre le contrôle d'autres services. Imaginez qu'il mette la main sur le nom d'utilisateur et le mot de passe de votre compte Google. Dans le cadre d'une attaque par credential stuffing, il tentera d'utiliser vos identifiants Google pour accéder à YouTube, Netflix, Amazon et d'autres services.
Franchement, il est fastidieux de se connecter manuellement à plusieurs services. C'est là que le pirate met en place des bots et leur fournit vos informations pour qu'ils fassent le travail à sa place. Ces robots peuvent se connecter à plusieurs comptes en parallèle, falsifier des adresses IP et même leur indiquer si vos identifiants volés fonctionnent sur certains sites. Si vous ne faites pas attention, ils peuvent également collecter des informations personnelles identifiables, des données de carte de crédit et d'autres informations sensibles.
Les robots de credential stuffing peuvent stocker des informations pour une utilisation ultérieure, ce qui signifie que vos données peuvent être enregistrées et compromises. Il ne faut pas les sous-estimer, car l'ampleur et la durée des dommages sont inconnues.
Un pirate informatique peut acheter illégalement vos coordonnées sur le dark web et utiliser ces informations pour lancer ces menaces. Il peut également utiliser des outils automatisés pour contourner les systèmes de sécurité, modifier les paramètres de votre compte et bloquer l'accès d'autres utilisateurs aux réseaux et à leurs comptes. Une attaque par credential stuffing informera le pirate informatique des différents points d'entrée dans votre infrastructure. S'il est compétent, il passera inaperçu et restera en sommeil. Une entreprise peut mettre des mois à comprendre ce qui se passe en arrière-plan, jusqu'à ce qu'il soit trop tard.
Comment détecter les attaques par credential stuffing ?
Le moyen le plus simple de détecter les attaques par credential stuffing est d'utiliser des technologies de détection des menaces par IA et d'analyse. Vous devrez mettre en place une plateforme d'accès à l'infrastructure avec des contrôles de gestion des accès. Votre équipe informatique doit disposer d'une visibilité étendue sur toutes les informations d'identification, tous les comptes et toutes les activités des utilisateurs dans l'ensemble des applications, bases de données, serveurs et réseaux.
Vérifiez les autorisations des utilisateurs dans votre entreprise et mettez en œuvre le modèle d'accès avec le moins de privilèges possible. Vous souhaitez mettre en place une architecture de sécurité réseau " zero trust " qui ne permette à personne d'y accéder comme ça. Ne faites jamais confiance, mais vérifiez toujours. Suivez ce mantra.
Il existe d'autres moyens d'identifier et de détecter les attaques par " credential stuffing ", à savoir :
- IAM, ou les solutions de gestion des identités et des accès basées sur l'IA, peuvent aider les professionnels de la sécurité à détecter les identités numériques inhabituelles qui rôdent sur les réseaux et à en savoir plus sur les tentatives d'accès inhabituelles.
- Les systèmes automatisés de détection des tentatives de connexion peuvent également déclencher des alertes instantanées et des notifications en temps réel. Vous recevrez des e-mails et des rappels concernant tout bot de credential stuffing qui tente de s'infiltrer.
Meilleures pratiques pour prévenir les attaques par credential stuffing
Pour garantir la prévention des attaques par credential stuffing, vous devez adopter la mentalité de votre adversaire. Efforcez-vous de revoir et de mettre à jour régulièrement vos protocoles, politiques et technologies de sécurité, et restez informé des dernières tendances en matière de cybersécurité.
Élaborez un plan d'intervention en cas d'incident qui décrit les mesures à prendre en cas de violation de données. Votre plan doit inclure des procédures pour isoler et contenir les menaces, y compris pour y remédier. Vous devrez également déterminer comment informer les utilisateurs concernés et les autorités compétentes. Vos employés sont en première ligne de votre défense, il est donc essentiel de les sensibiliser à ces attaques.
Ils doivent avoir une bonne compréhension, être sensibilisés et apprendre les dernières pratiques pour éviter d'être victimes de credential stuffing. Veillez à mettre en œuvre des politiques de protection des mots de passe robustes et encouragez votre équipe à utiliser les mots de passe les plus forts et uniques pour chaque compte. N'utilisez pas les mêmes combinaisons nom d'utilisateur/mot de passe pour plusieurs services. Il est également essentiel d'apprendre à vos employés à être conscients des pratiques d'ingénierie sociale. Ils doivent être capables de reconnaître les tentatives d'usurpation d'identité et ne pas divulguer leurs informations personnelles à des tiers. Il est recommandé de mettre en place des politiques de travail interdisant le partage de données d'entreprise ou le téléchargement de fichiers sur des réseaux publics non protégés.
Utilisez des méthodes d'authentification avancées telles que l'authentification multifactorielle. Ajoutez des couches de sécurité et combinez l'authentification multifactorielle avec d'autres techniques telles que l'empreinte digitale des appareils et la biométrie.
Les technologies d'apprentissage automatique et d'intelligence artificielle peuvent vous aider à détecter ces attaques en analysant de grands ensembles de données et les flux de trafic. Elles peuvent également surveiller les comportements des utilisateurs et signaler ou détecter les anomalies de protection en temps réel.
Vous devez configurer votre IA pour qu'elle bloque automatiquement les adresses IP et déconnecte temporairement les comptes si elle détecte des activités suspectes. En outre, vous devez également utiliser CAPTCHA et d'autres mécanismes de détection des bots qui obligeront vos utilisateurs à prouver qu'ils sont humains. Ils agiront comme une passerelle ou une barrière pour empêcher le credential stuffing.
D'autres méthodes de détection des bots peuvent fournir des défenses supplémentaires, telles que la limitation du débit et le blocage des adresses IP.
Vous devez adopter une approche proactive, collaborative et itérative pour protéger vos actifs numériques et conserver la confiance de vos clients. Par conséquent, revoyez régulièrement vos politiques, méthodes et workflows de sécurité et restez à jour.
Améliorez votre veille sur les menaces
Découvrez comment WatchTower, le service de chasse aux menaces de SentinelOne, peut vous apporter de meilleures informations et vous aider à déjouer les attaques.
En savoir plusAttaques par credential stuffing dans le monde réel
Voici quelques exemples concrets d'attaques par credential stuffing :
- Paypal a subi une attaque massive par credential stuffing entre le 6 et le 8 décembre 2022. Les pirates ont volé les noms complets, numéros de sécurité sociale, numéros d'identification fiscale et détails de cartes de crédit et de débit des clients. Bien que Paypal ait découvert la violation tardivement, il a immédiatement mis en place les meilleures mesures de sécurité pour combler les failles. Il a exhorté les utilisateurs à changer leurs mots de passe et à activer l'authentification à deux facteurs (2FA). Cependant, leurs comptes ont été rendus vulnérables avant qu'ils ne puissent le faire, car les pirates ont réutilisé leurs identifiants sur des services sans rapport.
- L'attaque par credential stuffing contre 23andMe est l'un des meilleurs exemples d'attaques par credential stuffing dans le monde réel. Elle nous montre ce qui se passe lorsque nous n'apprenons pas à prévenir les attaques par credential stuffing ou que nous ne faisons pas attention. Les pirates ont ciblé une société américaine spécialisée dans les tests génétiques et ont eu tout le temps nécessaire pour voler ses données. Ils ont dérobé des informations sur l'ADN, les génotypes, les arbres généalogiques, les adresses personnelles et les dates de naissance de plus de 6,9 millions d'utilisateurs et de leurs proches. Après avoir volé leurs identifiants, ils les ont vendus sur le dark web. La société a finalement fait l'objet de plusieurs recours collectifs intentés par ses clients.
- Okta a averti ses clients que des pirates informatiques avaient ciblé sa nouvelle fonctionnalité avec des attaques par credential stuffing. Le 15 avril 2024, elle a identifié une série d'attaques visant ses terminaux. La société a informé ses utilisateurs et leur a fourni des conseils pour remédier à la situation. Elle a suggéré de supprimer les appareils inter-origines autorisés qui n'étaient pas utilisés et de désactiver l'authentification inter-origines. Par mesure de sécurité, les utilisateurs ont activé l'authentification sans mot de passe et résistante au phishing afin de rester protégés.
Conclusion
Les attaques par credential stuffing ne sont pas rares et peuvent toucher n'importe qui à tout moment. Il est essentiel de mettre à jour systématiquement vos politiques de sécurité, de changer régulièrement vos mots de passe et de maintenir la vigilance des utilisateurs. Plus vous ignorez la probabilité de ces menaces, plus les opportunités se multiplient. N'oubliez pas que les pirates informatiques se moquent de la taille de votre organisation. Ils peuvent effectuer des reconnaissances pendant des années et frapper soudainement quand vous vous y attendez le moins. Le FBI a averti que les attaques par credential stuffing sont en forte augmentation.
Votre entreprise devra gérer des volumes de trafic plus importants à mesure qu'elle se développe et étend ses réseaux. Les attaques par credential stuffing visent principalement les entreprises de commerce électronique, les ONG, les organismes de santé et les institutions financières, mais ne se limitent pas à ces secteurs. Lors de tels événements, votre entreprise souffrira d'une perte de confiance de la part de ses clients et ne sera plus en mesure de fonctionner correctement.
"FAQs
Le credential stuffing se produit lorsque des pirates utilisent des identifiants de connexion volés pour accéder à d'autres comptes. Ils préfèrent utiliser des logiciels automatisés pour tester efficacement ces identifiants sur de nombreux sites. Il s'agit d'une attaque risquée, car il ne s'agit pas d'une simple supposition, les pirates ayant déjà obtenu vos identifiants de connexion.
Pour vérifier si votre mot de passe a été compromis, vous pouvez utiliser des moteurs de recherche en ligne qui détectent les fuites de données. Ils vous indiqueront si votre mot de passe ou votre adresse e-mail ont été trouvés dans des violations de données. Vous pouvez également surveiller régulièrement vos comptes à la recherche d'activités suspectes et modifier vos mots de passe.
Le CAPTCHA peut protéger contre les attaques par credential stuffing en demandant aux utilisateurs de s'authentifier pour prouver qu'ils ne sont pas des robots. Cela rend plus difficile pour les robots automatisés de tenter de se connecter à l'aide d'identifiants volés. Cependant, le CAPTCHA n'est pas infaillible et doit être utilisé en complément d'autres mesures de sécurité, telles que l'authentification multifactorielle.
Changer régulièrement vos mots de passe peut vous aider à éviter d'être victime d'une attaque par credential stuffing. Il est recommandé de les changer tous les quelques mois, en particulier pour les comptes à haut risque. Le fait d'avoir plusieurs mots de passe pour plusieurs comptes peut minimiser les dommages si l'un d'entre eux est compromis.
Le credential stuffing est une menace car il permet aux pirates d'accéder à plusieurs comptes à l'aide d'identifiants volés. Cela peut entraîner l'usurpation d'identité, la perte d'argent et la compromission de données personnelles. Il est difficile à détecter et peut toucher n'importe qui, ce qui en fait une menace sérieuse pour les particuliers et les organisations.
Une sécurité robuste peut atténuer le risque de credential stuffing. Cela implique une authentification multifactorielle, des employés sensibilisés au phishing et des mises à jour de sécurité fréquentes. Les entreprises doivent également suivre les tentatives de connexion suspectes et utiliser des outils de détection des menaces basés sur l'IA pour garder une longueur d'avance sur les attaques.
