Le credential stuffing : une cyberattaque simple et directe
Qu’est-ce que le credential stuffing ?
Le credential stuffing est une forme de cyberattaque consistant à utiliser des identifiants compromis pour accéder à d’autres services et applications. Pour réaliser une telle attaque, les cybercriminels mettent d’abord la main sur une liste d’identifiants volés, puis la transmettent à un robot. Le robot essaie alors de se connecter automatiquement à différents sites. Une fois que le hacker parvient à s’infiltrer sur un site avec ces identifiants, il n’a plus qu’à s’emparer des données personnelles qu’il contient pour les utiliser à des fins frauduleuses.
Statistiquement, le taux de réussite d’une attaque de credential stuffing est extrêmement faible, de l’ordre de 0,1 %. Pourtant, il s’agit de l’une des cyberattaques les plus courantes, car les hackers jouent sur le volume en utilisant des millions, voire des milliards d’identifiants pour augmenter leurs chances de réussite.
En vérité, elles sont désormais si communes qu’elles représentent près de 34 % des tentatives de connexion. De nombreux identifiants de connexion circulent sur le Dark Web : le credential stuffing constitue un des principaux risques de cybersécurité pour les internautes comme pour les entreprises.
Le tarif demandé pour les comptes volés dépend de la valeur et du type de compte. Voici quelques exemples de tarifs moyens :
- Mastercard ou Visa clonée avec code PIN : 25 $
- American Express clonée avec code PIN : 35 $
- Compte avec un solde inférieur ou égal à 1 000 $ : 150 $
- Compte avec un solde inférieur ou égal à 5 000 $ : 240 $
- Identifiants bancaires volés avec un compte dont le solde est au moins égal à 2 000 $ : 120 $
Comment fonctionne le credential stuffing ?
Le credential stuffing est une cyberattaque simple et directe. Son déroulement est le suivant :
- Les hackers se procurent sur le Dark Web une liste d’identifiants volés provenant d’une violation précédente.
- Ils transmettent ces identifiants à un robot, qui tente alors automatiquement de se connecter à divers sites et applications sans lien les uns avec les autres.
- Lorsqu’une connexion réussit, le hacker peut alors les utiliser pour accomplir d’autres activités malveillantes (usurpation de compte ou Business Email Compromise (BEC)), par exemple.
Les hackers les plus pointus lancent des attaques d’envergure à l’aide de botnets, qui génèrent suffisamment de trafic pour faire tomber l’infrastructure d’un service.
Si le credential stuffing pose une menace de plus en plus sérieuse, c’est en raison de différents facteurs :
Multiplication des comptes en ligne : de plus en plus nombreux, les services et applications en ligne génèrent toujours plus d’identifiants que les hackers peuvent exploiter. Malheureusement, les violations de données visant à les détourner se sont elles aussi multipliées. Les robots étant de plus en plus intelligents, cette tendance ne va faire que s’amplifier.
Intelligence des robots : au fil du temps, les robots de credential stuffing sont devenus plus intelligents et donc plus dangereux. Ils savent désormais ne faire qu’une tentative par combinaison nom d’utilisateur/mot de passe afin d’éviter l’activation de mécanismes de sécurité comme la comptabilisation des échecs de connexions.
Simplicité d’exécution : le credential stuffing figure parmi les cyberattaques les plus simples à mettre en œuvre. Les compétences nécessaires ne sont guère élevées, ce qui en fait une stratégie très appréciée par de nombreux cybercriminels. Le hacker doit simplement savoir acheter une liste d’identifiants volés sur le Dark Web et exécuter le robot pour mener à bien son attaque.
Capacités limitées de détection : les tentatives de connexion des robots sont élaborées et reposent sur des identifiants légitimes. Il peut ainsi être difficile de les détecter et les contrer.
Exemples de violations de données utilisées pour le credential stuffing
Au cours de la dernière décennie, les violations de données ont fortement augmenté. Pour tout dire, le coût des violations de données dans le monde a même battu des records en 2022.
Ces chiffres devraient continuer à gonfler avec la montée en puissance de l’intelligence artificielle et des programmes utilisés pour exécuter ces attaques. Voici une liste des violations de données les plus connues à ce jour :
Conséquence de l’exposition à une attaque de credential stuffing
Les conséquences du credential stuffing sont graves. Les hackers gagnent accès aux informations personnelles des utilisateurs et peuvent les exploiter à diverses fins notamment :
- Vente de l’accès au compte de l’utilisateur
- Achats en ligne frauduleux
- Exécution d’attaques de phishing, spear phishing et ransomwares
De nombreuses personnes réutilisent toujours la même combinaison nom d’utilisateur/mot de passe pour leurs différents comptes. Elles risquent donc de voir plusieurs de leurs comptes hackés et utilisés à des fins malveillantes.
Protection contre le credential stuffing
Alors que les violations de données et le credential stuffing sont de plus en plus répandus, internautes comme organisations doivent prendre des mesures pour protéger leurs données.
Les internautes doivent veiller à choisir des noms d’utilisateur uniques et des mots de passe forts pour chaque service. Les gestionnaires de mots de passe pourront les y aider, car ils permettent de générer et stocker des mots de passe forts pour l’ensemble des comptes.
De leur côté, les organisations doivent s’assurer que leurs employés mettent à jour fréquemment leurs mots de passe et doivent utiliser des mesures de sécurité supplémentaires, comme des pare-feu, des antivirus et des solutions de détection sur les terminaux.
Enfin, internautes et entreprises doivent envisager de recourir à l’authentification multifacteur dès que possible.