Les attaques par bourrage d' identifiants exploitent des noms d'utilisateur et des mots de passe volés lors de violations de données pour accéder de manière non autorisée aux comptes. Cette menace croissante affecte les entreprises de divers secteurs, du commerce électronique et des réseaux sociaux aux services financiers.

Alors que de plus en plus d'utilisateurs continuent de réutiliser des mots de passe sur différentes plateformes, les attaquants trouvent plus facile d'exploiter cette vulnérabilité. En automatisant les tentatives de connexion avec des bots, les hackers peuvent tester des millions d'identifiants en peu de temps, entraînant des prises de contrôle de comptes, des fraudes et des dommages réputationnels.

Mais qu'est-ce que le bourrage d'identifiants exactement, et en quoi ces attaques diffèrent-elles d'autres menaces cybernétiques ? Plus important encore, comment les entreprises peuvent-elles les détecter et les prévenir ? Plongeons dans les détails du bourrage d'identifiants et explorons comment vous pouvez protéger votre plateforme.

Qu'est-ce qu'une attaque par bourrage d'identifiants ? 

Le bourrage d'identifiants est un type d'attaque cybernétique où les hackers utilisent des noms d'utilisateur et des mots de passe volés lors de violations de données antérieures pour accéder de manière non autorisée à des comptes utilisateurs sur différentes plateformes. Les attaquants exploitent le fait que de nombreux utilisateurs réutilisent les mêmes mots de passe sur différents sites web et applications, ce qui leur facilite la tâche pour enfreindre plusieurs comptes avec les mêmes identifiants.

Selon le rapport 2023 sur les menaces d'identité par F5 Labs, le bourrage d'identifiants a représenté en moyenne 19,4 % du trafic non atténué dans des organisations de divers secteurs. Même après les efforts d'atténuation, 6,0 % du trafic était toujours constitué de tentatives de bourrage d'identifiants. 

Selon Kaspersky, un fournisseur d'authentification a signalé en moyenne une tentative de bourrage d'identifiants pour chaque deux connexions légitimes en 2022, soulignant à quel point cette méthode est devenue répandue. Cette tendance persistante souligne le risque permanent pour les entreprises, en particulier dans des secteurs comme le voyage, les télécommunications et la technologie, qui connaissent des taux d'attaques plus élevés que d'autres secteurs.

Mais pour comprendre comment se protéger contre le bourrage d'identifiants, il est crucial de d'abord comprendre comment ces attaques fonctionnent et les techniques utilisées par les attaquants.

Comment fonctionnent les attaques par bourrage d'identifiants ?

Les attaques par bourrage d'identifiants exploitent la réutilisation des mots de passe en utilisant des outils automatisés, souvent appelés bots, pour tester de grandes listes d'identifiants volés sur différents sites web. Lorsqu'ils trouvent une correspondance, les hackers obtiennent un accès non autorisé au compte de l'utilisateur. Cette approche automatisée leur permet de tester des millions de paires d'identifiants en peu de temps.

Différence par rapport aux attaques par force brute :

• Les attaques par force brute : tentent de deviner les mots de passe en essayant des combinaisons aléatoires de caractères jusqu'à ce que le bon mot de passe soit trouvé,

• Le bourrage d'identifiants : utilise des identifiants réels provenant de violations de données, rendant le processus plus rapide et plus efficace, 

Techniques courantes utilisées dans le bourrage d'identifiants :

1. Botnets : les attaquants utilisent des réseaux d'ordinateurs compromis (botnets) pour répartir les tentatives de connexion sur plusieurs adresses IP, rendant plus difficile la détection et le blocage de l'attaque,

2. Réseaux de proxy : des proxies sont employés pour obscurcir l'origine des tentatives de connexion, permettant aux attaquants de contourner les mesures de sécurité,

3. Fuites d'identifiants : des listes d'identifiants volés provenant de violations de données passées sont vendues ou partagées sur le dark web, donnant aux attaquants un accès immédiat à des noms d'utilisateur et des mots de passe.

Quelles sont quelques attaques récentes notables par bourrage d'identifiants ?

Le bourrage d'identifiants reste une menace sérieuse pour les entreprises de nombreux secteurs, les attaquants réussissant à compromettre des comptes en exploitant des identifiants de connexion volés. Au cours des dernières années, plusieurs entreprises de premier plan ont été victimes de ce type d'attaques, illustrant la nature répandue et continue du problème. Explorons trois exemples récents :

1. PayPal (2022)

En décembre 2022, PayPal a été ciblé dans une attaque par bourrage d'identifiants qui a compromis près de 35 000 comptes. Les attaquants ont utilisé des identifiants obtenus lors de violations sur des sites web non liés pour accéder de manière non autorisée aux comptes PayPal. 

Bien que PayPal ait confirmé qu'il n'y avait aucune preuve d'utilisation abusive des données clients, ils ont offert aux utilisateurs affectés un abonnement de deux ans au service de surveillance d'identité d'Equifax par précaution. Cet incident souligne l'importance de l'activation de l'authentification à deux facteurs (2FA), qui ajoute une couche supplémentaire de protection contre le bourrage d'identifiants.

2. 23andMe (2023)

Fin 2023, la société de tests génétiques 23andMe a révélé qu'une attaque par bourrage d'identifiants avait entraîné le vol d'informations personnelles de millions de ses utilisateurs. Les données volées comprenaient noms, photos de profil, sexe, dates de naissance, et même résultats d'ascendance génétique. 

Selon 23andMe, les attaquants ont probablement obtenu les identifiants de connexion d'autres plateformes où les utilisateurs avaient réutilisé leurs mots de passe. Ce cas souligne les dangers de la réutilisation des identifiants de connexion sur plusieurs services, facilitant ainsi la tâche des attaquants pour compromettre des comptes.

3. Zoom (2020)

En 2020, Zoom a subi une attaque par bourrage d'identifiants significative, compromettant plus de 500 000 comptes d'utilisateurs. Les attaquants ont utilisé des identifiants provenant de violations datant aussi loin qu'en 2013, dont beaucoup avaient probablement été vendus sur le dark web. 

En raison de la pratique généralisée de la réutilisation des mots de passe, les attaquants ont pu accéder à ces comptes en utilisant un outil de "vérification d'identifiants". Cette attaque rappelle avec force la nécessité pour les utilisateurs de mettre régulièrement à jour et de diversifier leurs mots de passe pour protéger leurs comptes contre d'éventuelles compromissions.

Comment le bourrage d'identifiants affecte-t-il votre entreprise ?

Le bourrage d'identifiants peut causer des dommages significatifs aux entreprises et à leurs utilisateurs, avec des conséquences qui affectent la stabilité financière, la confiance des clients et l'efficacité opérationnelle.

1. Pertes financières pour votre entreprise

Le bourrage d'identifiants entraîne souvent des transactions frauduleuses, ce qui peut conduire à des pertes financières directes. Les attaquants qui accèdent aux comptes utilisateurs peuvent initier des achats non autorisés, manipuler des points de fidélité ou exploiter des services d'abonnement. Ces activités peuvent entraîner des contestation de paiements, des remboursements et des frais de transaction supplémentaires.

Pour des secteurs comme le commerce électronique et les services financiers, le coût de l'annulation des activités frauduleuses peut rapidement s'accumuler, affectant la rentabilité globale. Au-delà de la perte financière immédiate, les entreprises peuvent également faire face à des primes d'assurance plus élevées et au besoin d'investir dans des systèmes de prévention des fraudes plus solides.

2. Perte de confiance des clients et réputation

Lorsque les comptes clients sont compromis, cela impacte considérablement la confiance des utilisateurs. Vos clients s'attendent à ce que leurs données personnelles soient sécurisées, et une violation peut les amener à perdre confiance dans votre plateforme. Cela peut entraîner un taux de churn, les utilisateurs abandonnant votre service au profit de concurrents. Des critiques négatives et un retour de bâton sur les réseaux sociaux peuvent également ternir davantage votre réputation, rendant plus difficile l'attraction de nouveaux utilisateurs ou le maintien des existants. 

Pour les entreprises dans des secteurs très concurrentiels tels que les réseaux sociaux, la finance et le commerce électronique, les dommages réputationnels issus d'une attaque par bourrage d'identifiants peuvent avoir des effets à long terme sur la fidélité à la marque.

3. Perturbation opérationnelle et coûts accrus

Les attaques par bourrage d'identifiants entraînent souvent une augmentation des demandes de support client à mesure que les utilisateurs signalent des activités non autorisées sur leurs comptes. Gérer des prises de contrôle de comptes, traiter des réinitialisations de mots de passe et résoudre des plaintes utilisateurs impose un lourd fardeau aux équipes de service client. Cette hausse des demandes de support peut exercer une pression sur vos ressources, détournant l'attention des fonctions commerciales essentielles. 

De plus, les entreprises doivent investir dans des mises à niveau de la cybersécurité pour prévenir de futures attaques, ce qui peut augmenter les coûts opérationnels. Le temps et les efforts nécessaires pour se remettre d'une attaque de grande envergure peuvent perturber les opérations normales et retarder des projets ou initiatives clés.

Comment détecter les attaques par bourrage d'identifiants ?

Détecter rapidement les attaques par bourrage d'identifiants est crucial pour minimiser leur impact. En gardant un œil attentif sur des indicateurs spécifiques, les entreprises peuvent agir rapidement pour atténuer les dommages. Voici trois signes clés à surveiller :

1. Augmentation des échecs de connexion

Un des signes les plus évidents d'une attaque par bourrage d'identifiants est une augmentation soudaine des échecs de connexion. Comme les attaquants utilisent des outils automatisés pour tester des milliers — voire des millions — d'identifiants volés, votre système enregistrera une augmentation anormale des échecs de connexion. 

Ce modèle implique souvent plusieurs tentatives échouées depuis la même adresse IP ou à travers de nombreux comptes utilisateurs. Surveiller de telles augmentations est essentiel pour identifier une attaque en cours.

2. Activité inhabituelle sur les comptes utilisateurs

Les utilisateurs peuvent signaler des activités étranges ou non autorisées sur leurs comptes, telles que des transactions qu'ils n'ont pas effectuées, des changements dans leurs détails de profil, ou un accès depuis des dispositifs inconnus. Les attaquants qui compromettent avec succès des comptes par le biais du bourrage d'identifiants les utilisent souvent pour réaliser des actions frauduleuses, telles que faire des achats ou manipuler les paramètres du compte. 

Mettre en œuvre des outils pour détecter les anomalies dans le comportement des utilisateurs peut aider à signaler une activité suspecte tôt.

3. Changements inattendus dans les informations du compte

Une fois que les attaquants accèdent à un compte, ils peuvent tenter de verrouiller l'utilisateur légitime en changeant des détails clés comme les adresses email ou les numéros de téléphone. Ces changements inattendus peuvent être des signes d'alarme, surtout s'ils se produisent après plusieurs tentatives de connexion échouées.

Surveiller les modifications soudaines des informations du compte, en particulier après une activité de connexion suspecte, peut aider à prévenir d'autres dommages.

Comment prévenir les attaques par bourrage d'identifiants pour protéger vos utilisateurs ?

Prévenir le bourrage d'identifiants nécessite une approche multicouche. Voici quelques stratégies clés :

1. Imposer des politiques de mots de passe solides

Encouragez les utilisateurs à créer des mots de passe forts et uniques qui sont difficiles à deviner. Les mots de passe doivent être une combinaison de lettres, de chiffres et de symboles. Rappelez aux utilisateurs d'éviter de réutiliser des mots de passe sur différentes plateformes.

2. Éduquez les utilisateurs sur la sensibilisation à la sécurité

Tout comme l'industrie bancaire rappelle fréquemment aux clients de ne jamais partager leurs mots de passe, les entreprises devraient éduquer leurs utilisateurs sur l'importance de la sécurité des mots de passe. Des rappels réguliers sur l'importance de ne pas réutiliser des mots de passe et de suivre les meilleures pratiques peuvent grandement contribuer à prévenir les attaques par bourrage d'identifiants.

3. Mettre en œuvre des mécanismes de verrouillage de compte

Les mécanismes de verrouillage de compte peuvent empêcher les bots automatisés de faire des tentatives de connexion continues. Après un certain nombre de tentatives de connexion échouées, le verrouillage temporaire du compte aide à bloquer des tentatives supplémentaires jusqu'à ce que l'utilisateur vérifie son identité.

4. Utiliser CAPTCHA – avec des limitations

CAPTCHA peut aider à bloquer les bots qui effectuent des tentatives de connexion automatisées, mais ce n'est pas une solution parfaite. Les CAPTCHA peuvent affecter négativement l'expérience utilisateur et les taux de conversion, et des bots sophistiqués peuvent parfois les contourner en utilisant des techniques avancées.

5. Authentification Multi-Facteur (MFA)

L'authentification multi-facteur (MFA) ajoute une couche de sécurité supplémentaire en exigeant que les utilisateurs vérifient leur identité par un second facteur, tel qu'un code à usage unique (OTP) envoyé par SMS ou un Email OTP. Cela rend beaucoup plus difficile pour les attaquants d'accéder aux comptes, même s'ils disposent des identifiants corrects.

Mais la MFA d'aujourd'hui ne se limite pas aux SMS. De nombreux canaux sont désormais disponibles qui peuvent atteindre des utilisateurs dans le monde entier, garantissant une livraison fiable indépendamment de la géographie ou des conditions réseau. Avec Prelude, vous pouvez également choisir votre canal préféré parmi SMS, RCS, Telegram, WhatsApp et SNA (Authentification du Réseau Silencieux) pour adapter la vérification aux besoins de votre entreprise et au contexte de l'utilisateur.

Des technologies avancées comme SNA vont encore plus loin. Au lieu de compter sur un OTP, le numéro et l'appareil de l’utilisateur sont silencieusement vérifiés au niveau de l'opérateur. Cela rend l'authentification transparente pour l'utilisateur tout en réduisant considérablement le risque de fraude, d'interception ou de manipulation.

Le bourrage d'identifiants est une menace sérieuse et croissante, mais en mettant en œuvre des politiques de mots de passe solides, en éduquant les utilisateurs et en utilisant l'authentification multi-facteur, les entreprises peuvent considérablement réduire le risque. Prévenir ces attaques protège à la fois vos utilisateurs et votre entreprise contre des pertes financières et des dommages réputationnels.