Le credential stuffing est une méthode de cyberattaque dans laquelle les attaquants utilisent des scripts automatisés pour tester des combinaisons de noms d'utilisateur et de mots de passe sur divers sites Web. L’attaquant obtient souvent ces paires nom d’utilisateur/mot de passe à partir de violations de données antérieures et les utilise pour tenter d’obtenir un accès non autorisé aux comptes d’utilisateurs sur différentes plateformes.
L’histoire du credential stuffing et sa première mention
Le terme « Credential Stuffing » est apparu pour la première fois à la fin des années 2000, suite à une augmentation significative des violations de données à grande échelle qui ont exposé des millions d'identifiants d'utilisateurs. Il s’agit essentiellement d’une évolution de la méthode d’attaque par force brute, mais au lieu de tenter des combinaisons aléatoires de nom d’utilisateur et de mot de passe, les attaques par credential stuffing utilisent des combinaisons déjà utilisées par des individus.
Le premier cas reconnu de credential stuffing remonte à 2014, lorsque des attaquants ont exploité la violation de données d'Adobe, qui a entraîné la fuite d'environ 153 millions de comptes. Ils ont testé ces paires d’identifiants divulgués sur différents sites Web et ont réussi à obtenir un accès non autorisé à de nombreux comptes.
Un examen approfondi du credential stuffing
Le credential stuffing constitue une menace majeure pour la cybersécurité, principalement parce que de nombreuses personnes utilisent les mêmes mots de passe sur plusieurs sites Web. Si une violation de données divulgue ces mots de passe, un attaquant peut accéder à plusieurs comptes appartenant à la même personne.
Les attaques de credential stuffing sont généralement automatisées, utilisant des robots pour saisir systématiquement les paires d'identifiants dans les sites Web ciblés. Si un site Web ne dispose pas de mesures de sécurité efficaces pour détecter et prévenir de telles attaques, l’attaquant peut tester des milliers de paires d’identifiants en peu de temps.
L’ampleur de ces attaques et leur impact potentiel sont énormes. Par exemple, en 2018, la société de sécurité Shape Security a estimé que 90% de toutes les tentatives de connexion sur des sites de commerce électronique étaient des attaques de type credential stuffing.
La structure interne du credential stuffing
La structure interne d’une attaque de credential stuffing implique trois éléments principaux :
-
La base de données des informations d'identification ayant fait l'objet d'une fuite : Il s'agit de bases de données contenant des combinaisons nom d'utilisateur-mot de passe obtenues à la suite de violations de données. Ces bases de données sont souvent disponibles sur le dark web.
-
Les outils d'automatisation : Ces outils, également appelés « credential stuffers », sont utilisés pour automatiser l'attaque. Ils saisissent les paires nom d'utilisateur-mot de passe dans les champs de connexion des sites Web ciblés.
-
Le réseau proxy : Les attaquants utilisent des réseaux proxy pour masquer leurs adresses IP et échapper à la détection.
Le processus est relativement simple : l'outil automatisé sélectionne une paire d'informations d'identification dans la base de données, la saisit sur le site Web via un serveur proxy, puis enregistre si la tentative de connexion a réussi ou non.
Principales caractéristiques du Credential Stuffing
Certaines des principales caractéristiques des attaques de credential stuffing incluent :
- Automatisation: Les attaques de credential stuffing sont automatisées, permettant aux attaquants de tester des milliers d’identifiants en peu de temps.
- Tire parti des violations de données : Ces attaques s'appuient sur des données précédemment divulguées suite à des violations de données.
- Difficile à détecter : En raison de l’utilisation de paires nom d’utilisateur-mot de passe légitimes et de serveurs proxy, les attaques de credential stuffing peuvent être difficiles à détecter.
- Impact généralisé : Comme les gens réutilisent souvent leurs mots de passe sur plusieurs sites Web, une attaque réussie peut compromettre plusieurs comptes appartenant au même utilisateur.
Types de bourrage d’informations d’identification
Il existe deux principaux types de credential stuffing :
-
Bourrage d'informations d'identification traditionnel : Dans ce cas, l’attaquant utilise un simple script ou un robot pour essayer les informations d’identification divulguées sur un site Web cible.
-
Bourrage d'informations d'identification persistant avancé : Dans ce type d’attaque, l’attaquant utilise des outils et des méthodes plus sophistiqués, faisant souvent pivoter les adresses IP et imitant un comportement humain pour échapper à la détection.
| Type de bourrage d'informations d'identification | Les outils utilisés | Niveau de sophistication |
|---|---|---|
| Traditionnel | Bots ou scripts simples | Faible |
| Avancé persistant | Bots avancés, adresses IP tournantes, mimétisme du comportement humain | Haut |
Façons d'utiliser le bourrage d'informations d'identification, problèmes et solutions
Les attaques de credential stuffing présentent un risque de sécurité important pour les entreprises et les particuliers. Ces attaques peuvent entraîner des accès non autorisés, des vols de données, des pertes financières et d'autres conséquences graves.
Il existe cependant plusieurs manières d’atténuer ces risques :
- Authentification multifacteur (MFA) : La MFA exige que les utilisateurs fournissent une preuve d’identité supplémentaire, ce qui peut prévenir efficacement les attaques de credential stuffing.
- Utilisation du CAPTCHA : CAPTCHA peut aider à différencier les utilisateurs humains des robots, réduisant ainsi le taux de réussite des attaques automatisées.
- Surveillance des informations d'identification : La surveillance et la sécurisation régulières de vos informations d'identification peuvent aider à détecter et à atténuer les menaces potentielles.
- Limitation du débit IP : Cette technique limite le nombre de tentatives de connexion pouvant être effectuées à partir d’une seule adresse IP, ce qui rend plus difficile la réalisation des opérations des attaquants.
Credential Stuffing et termes similaires
| Terme | Description |
|---|---|
| Bourrage d'informations d'identification | Méthode d'attaque dans laquelle les attaquants utilisent des informations d'identification précédemment divulguées pour obtenir un accès non autorisé aux comptes d'utilisateurs. |
| Attaque de force brute | Une méthode d'attaque dans laquelle les attaquants tentent toutes les combinaisons possibles de noms d'utilisateur et de mots de passe pour accéder. |
| Pulvérisation de mot de passe | Méthode d'attaque dans laquelle les attaquants essaient quelques mots de passe couramment utilisés sur de nombreux comptes avant d'essayer un autre mot de passe, afin d'éviter le verrouillage du compte. |
Perspectives et technologies futures liées au credential stuffing
À mesure que le monde numérique évolue, les méthodes utilisées par les attaquants évoluent également. Advanced Persistent Credential Stuffing en est un exemple clair. Cependant, la technologie permettant de contrer ces menaces évolue également. Des techniques telles que la biométrie comportementale, qui étudie le comportement des utilisateurs pour identifier les anomalies, sont utilisées pour lutter contre le credential stuffing. L’apprentissage automatique et l’IA sont également utilisés pour détecter et prévenir ces attaques.
À l’avenir, nous pouvons nous attendre à voir des mesures de sécurité plus avancées, notamment des technologies CAPTCHA plus sophistiquées, une utilisation plus répandue de la MFA et une utilisation accrue de l’IA et de l’apprentissage automatique pour la détection et l’atténuation des menaces.
Serveurs proxy et bourrage d'informations d'identification
Les serveurs proxy jouent un rôle important dans les attaques de credential stuffing. Les attaquants les utilisent souvent pour cacher leurs adresses IP et échapper à la détection. Toutefois, les serveurs proxy peuvent également faire partie de la solution. Certains serveurs proxy sont équipés d'outils permettant de détecter et de bloquer les activités suspectes, contribuant ainsi à atténuer les risques associés au credential stuffing.
De plus, les entreprises peuvent utiliser des serveurs proxy pour ajouter une couche de sécurité supplémentaire. En canalisant tout le trafic via un serveur proxy, les organisations peuvent surveiller et contrôler les données en cours de transfert, contribuant ainsi à empêcher tout accès non autorisé et à protéger les informations sensibles.
Liens connexes
- Projet ouvert de sécurité des applications Web (OWASP)
- National Institute of Standards and Technology (NIST) – Lignes directrices sur l’identité numérique
- Annonce d'intérêt public du FBI sur le bourrage d'informations d'identification
Il est important de se tenir au courant des dernières informations et évolutions en matière de cybersécurité pour vous protéger, vous et votre entreprise, contre les attaques de credential stuffing.
