Explication des attaques par credential stuffing (et comment les prévenir)

Mise à jour : 2022-04-25 / Article par : Gene Fay
Comment fonctionnent les attaques de credential stuffing

La clé pour savoir comment prévenir les attaques de credential stuffing est de comprendre ce qu'elles sont, comment elles sont exécutées et comment elles peuvent affecter votre entreprise et vos données.

En termes simples, une attaque de bourrage d'informations d'identification est une correspondance automatisée des noms d'utilisateur et des mots de passe volés que les criminels peuvent utiliser pour trouver des combinaisons d'informations d'identification valides. Cette approche entraîne des attaques de prise de contrôle de compte et a généralement tendance à les précéder. Les criminels doivent d'abord accéder aux comptes avant de pouvoir s'en emparer et les utiliser à leurs propres fins.

Les attaques de bourrage d'informations d'identification représentent un pourcentage important de tous les types d'attaques en ligne. En fait, près de 5 % de tout le trafic numérique concerne ces attaques.

L'augmentation récente des attaques de credential stuffing est due à un vol continu, et dans certains cas très rentable, des informations personnelles des consommateurs par le biais de violations de données régulières. Les consommateurs qui réutilisent et recyclent les mots de passe de leurs comptes en ligne sont particulièrement exposés.

Cela signifie essentiellement que si un attaquant peut accéder à une seule combinaison de nom d'utilisateur et de mot de passe valide utilisée par une seule personne sur plusieurs comptes en ligne, ces comptes peuvent tous être compromis facilement et dans un délai relativement court.

Comment fonctionnent les attaques par credential stuffing ?

Il existe trois phases principales dans toute attaque de credential stuffing :

  1. Collecte de données
  2. Correspondance des informations d'identification
  3. Monétisation d'une attaque

Les attaquants utilisent souvent des bots pour automatiser le processus de validation des informations d'identification et trouver des combinaisons valides de noms d'utilisateur et de mots de passe. Ces robots puissants peuvent associer des milliers de mots de passe à des noms d'utilisateur pour trouver des combinaisons valides pouvant être utilisées pour obtenir un accès indésirable à des comptes numériques. Cette approche permet aux attaquants d'intensifier leurs efforts et d'augmenter leur retour sur investissement tout en causant des dommages considérables aux entreprises et aux particuliers.

Quelle est la fréquence des attaques par credential stuffing ?

Ces attaques numériques sont très courantes et répandues dans un large éventail d'industries et de domaines en ligne. Parfois, ils sont même effectués par des robots automatisés au lieu d'individus humains. Des robots hautement avancés dotés de capacités d'intelligence artificielle sont facilement et facilement accessibles aux attaquants, qui peuvent même accéder à des services d'assistance pour les aider dans leurs attaques. Cette technologie permet aux attaquants d'exécuter facilement des attaques à grande échelle à l'aide de bots à un coût minime pour eux-mêmes.

De nombreux attaquants connaissent également les techniques de base de défense contre la fraude et peuvent utiliser ces connaissances pour contourner et exploiter les systèmes technologiques à leur avantage. Une fois qu'ils ont pénétré un réseau, ils peuvent utiliser des bots pour explorer en interne, voler des données privées et perturber les opérations et les systèmes de sécurité des entreprises.

Comprendre les statistiques

Plateforme gratuite de notification de violation de données HaveIBeenPwnd.com suit plus de 8.5 milliards d'informations d'identification compromises à partir de plus de 400 événements de violation de données. Le service ne suit que les informations d'identification à partir d'ensembles de données ouverts au public ou largement diffusés à l'aide de plates-formes souterraines. De nombreux vidages de base de données sont privés et seuls de petits groupes de piratage peuvent y accéder.

Les attaques de bourrage d'informations d'identification sont soutenues par une économie souterraine complète centrée sur la vente d'informations d'identification volées et d'outils d'assistance personnalisés pour aider les attaquants dans leurs efforts. Ces outils utilisent des « listes combinées » qui sont rassemblées à partir de différents ensembles de données après que les mots de passe hachés trouvés dans les ensembles de données divulgués ont été piratés. Essentiellement, le lancement d'attaques de credential stuffing ne nécessite aucune connaissance ou compétence spécialisée. Quiconque a assez d'argent pour acheter les données et les outils dont il a besoin peut exécuter une attaque.

Les attaques de credential stuffing sont devenues rentables - pour aussi peu que 200 $ par 100,000 XNUMX prises de contrôle de compte (la source).

La société de sécurité et de diffusion de contenu Akamai a découvert 193 milliards d'attaques de bourrage d'informations d'identification à l'échelle mondiale rien qu'en 2020. Ce numéro est venu comme un Augmentation de 360 % par rapport aux chiffres de 2019. Bien qu'une partie de cette augmentation puisse être attribuée à une surveillance plus approfondie d'un plus grand nombre de clients. Certaines industries, telles que l'industrie des services financiers, ont été particulièrement souvent ciblées. Le rapport d'Akamai de mai 2021 a cité plusieurs pics dans le volume de ces attaques, dont une seule journée fin 2020 qui a vu plus d'un milliard d'attaques lancées.

Comment repérer les attaques

Les attaques de credential stuffing sont lancées via des outils automatisés et des botnets qui permettent l'utilisation de proxys qui distribuent des requêtes malveillantes sur un certain nombre d'adresses IP différentes. Les attaquants configurent également souvent leurs outils de choix pour imiter les agents utilisateurs authentiques - les en-têtes qui identifient les systèmes d'exploitation et les navigateurs qui composent les requêtes Web.

Tout cela rend difficile la distinction entre les attaques et les véritables tentatives de connexion. Surtout sur les sites Web à fort trafic sur lesquels une vague soudaine de demandes de connexion ne se démarque pas du comportement de connexion habituel. Cela dit, une augmentation des taux d'échec de connexion sur une courte période peut indiquer qu'une attaque de bourrage d'informations d'identification a été lancée contre un site Web.

Il existe de nombreux pare-feu d'applications Web et services similaires qui utilisent des diagnostics comportementaux avancés pour détecter les comportements de connexion suspects. Plus, les propriétaires de sites Web peuvent prendre leurs propres mesures pour prévenir de futures attaques.

En savoir plus

Comment prévenir les attaques de bourrage d'informations d'identification

Etes-vous un robot?

Les attaques de credential stuffing sont aujourd'hui l'une des menaces les plus importantes pour les comptes numériques des internautes, et cela s'applique également aux entreprises. Les organisations, les petites entreprises et toutes les personnes intermédiaires doivent prendre des mesures de protection contre ces menaces pour garantir la sécurité de leurs données personnelles et organisationnelles.

Certains des plus populaires prévention du credential stuffing techniques incluent :

  • CAPTCHA
    Les CAPTCHA sont une forme de bot commun utilisé pour empêcher les attaques menées par d'autres bots. Ils demandent aux internautes de résoudre des énigmes lors de la connexion pour s'assurer qu'ils sont humains. Les CAPTCHA sont disponibles dans une variété de versions, y compris l'image, le texte, l'audio, la somme mathématique, etc.
  • Connexions biométriques comportementales
    Certaines entreprises ont eu recours à l'analyse du comportement typique des utilisateurs et des modèles de trafic Web afin de détecter les menaces. Ils peuvent utiliser ces données pour repérer les comportements anormaux et l'exploitation possible de leurs systèmes.
  • Adresse IP blocage
    De nombreuses entreprises ont bloqué des adresses IP en raison d'activités suspectes, et d'autres choisissent de mettre en quarantaine les demandes suspectes jusqu'à ce qu'elles puissent être examinées et vérifiées.
  • Authentification à deux et plusieurs facteurs
    2FA et MFA fournissent des couches supplémentaires de sécurité et d'authentification en utilisant des informations supplémentaires que seul l'utilisateur doit connaître ou avoir accès. Cette authentification peut prendre la forme de codes PIN à usage unique, de SMS, de questions de sécurité ou de lectures biométriques telles qu'une empreinte digitale ou un scan facial.
  • Intelligence des appareils et empreintes digitales
    L'intelligence des appareils se compose de données telles que les systèmes d'exploitation, les adresses IP, les types de navigateurs, etc. Ces données aident à créer une identité unique qui peut être liée à un appareil spécifique. Un écart par rapport à ces données typiques peut signaler des comportements suspects et permettre aux entreprises et aux particuliers d'agir de manière proactive et d'introduire davantage de mesures d'authentification.
  • Mot de passe et hygiène de sécurité
    L'hygiène des mots de passe devrait faire partie de la formation de sensibilisation à la sécurité de chaque entreprise pour les membres du personnel. La réutilisation des mots de passe est le principal catalyseur des attaques de credential stuffing. Les entreprises doivent donc décourager cette pratique et s'assurer que leur personnel sait à quel point il est important d'utiliser des mots de passe forts et uniques, tant au travail qu'à titre personnel.
    Les internautes peuvent utiliser gestionnaires de mots de passe sécurisés pour générer des mots de passe complexes et imprévisibles pour chaque compte en ligne dont ils disposent. Les gestionnaires de mots de passe stockent automatiquement ces mots de passe et peuvent également avertir les utilisateurs si leurs adresses e-mail apparaissent dans les vidages de données publics.

Certaines grandes entreprises ont commencé à prendre des mesures proactives en analysant et en surveillant les décharges de données publiques pour voir si les adresses e-mail concernées sont également présentes dans leurs propres systèmes. Pour les comptes qui se trouvent sur leurs serveurs, ils nécessitent des réinitialisations de mot de passe et suggèrent d'activer l'authentification multifacteur pour protéger les consommateurs dont les données ont peut-être déjà été compromises.

Quelle est l'efficacité de ces mesures préventives ?

De nombreuses entreprises utilisent une ou plusieurs des méthodes de défense mentionnées ci-dessus pour se protéger et protéger leurs données contre les attaques de credential stuffing. Cependant, ces approches ne sont pas efficaces à 100 %. Ils présentent des lacunes qui ne s'avèrent que partiellement efficaces pour assurer une protection continue contre l'évolution des attaques.

Ces mesures préventives posent des problèmes d'intégration et augmentent les coûts techniques, tout en compliquant la prise de décision en matière de risque, ce qui peut encore entraver les efforts de prévention de la fraude. Par exemple, l'authentification multifacteur est à la fois coûteuse à mettre en œuvre et sujette aux SMS et OTP retardés ou perdus.

De même, le blocage des adresses IP en fonction des changements de comportement peut conduire les entreprises à bloquer involontairement des clients et des prospects légitimes. L'intelligence des appareils ne peut pas être utilisée comme une solution de sécurité autonome, car la plupart des utilisateurs ont aujourd'hui de nombreux appareils et navigateurs installés. Les CAPTCHA ont pris du retard sur les technologies de bot en constante évolution. Ils sont rapidement rendus inefficaces car ils gênent souvent inutilement les internautes sans arrêter les attaques.

Le plat à emporter : la dissuasion est la clé

À une époque où le problème des attaques de bourrage d'informations d'identification est une menace croissante, les entreprises de toutes tailles s'efforceront d'équilibrer les coûts croissants de remédiation avec des mesures de sécurité efficaces qui produisent un retour sur investissement viable. Ces attaques sont extrêmement abordables pour les attaquants. Mais ils peuvent laisser les entreprises paralysées par des pertes financières et des atteintes à la réputation.

En bref, l'atténuation des attaques de credential stuffing peut ne pas être suffisante pour protéger les entreprises contre les dommages. Ils doivent plutôt se concentrer sur la dissuasion des criminels afin de protéger leurs données. Une approche innovante de la dissuasion de la fraude est nécessaire pour fournir aux organisations une protection durable alors que les méthodes d'attaque continuent d'évoluer.

Selon le rapport d'Akamai sur l'état de l'Internet mentionné ci-dessus, les attaques par credential stuffing ne mènent nulle part. Puisqu'ils ne peuvent pas être complètement arrêtés, les entreprises devraient viser à rendre le processus d'obtention de noms d'utilisateur et de mots de passe correspondants aussi difficile que possible. Réduire la réutilisation des mots de passe et encourager la création de mots de passe forts sont parmi les moyens de dissuasion les plus efficaces et les plus abordables disponibles pour les entreprises de tous les secteurs.

En savoir plus

À propos de Gene Fay

Gene Fay est un cadre supérieur expérimenté dans le domaine des technologies de l'information. Compétences en cybersécurité, réseau de stockage (SAN), ventes, services professionnels et centre de données. Solide professionnel des technologies de l'information avec un MBA axé sur la haute technologie de la Northeastern University - Graduate School of Business Administration. Il est également l'hôte du podcast eXecutive Security, un podcast présentant des conversations avec des RSSI et d'autres responsables de la sécurité sur la manière dont les individus peuvent entrer et développer des carrières dans le domaine de la sécurité.