Les attaques par credential stuffing (bourrage d'identifiants) exploitent les noms d'utilisateur et mots de passe volés lors de violations de données pour accéder de manière non autorisée à des comptes. Cette menace croissante affecte les entreprises dans divers secteurs, de l'e-commerce aux réseaux sociaux en passant par les services financiers.

Alors que de plus en plus d'utilisateurs continuent à réutiliser des mots de passe sur différentes plates-formes, il devient plus facile pour les fraudeurs d'exploiter cette vulnérabilité. En automatisant les tentatives de connexion avec des bots, les hackers peuvent tester des millions d'identifiants en peu de temps, entraînant des prises de contrôle de comptes, des fraudes et des dommages à la réputation.

Mais qu'est-ce que le credential stuffing et en quoi ces attaques diffèrent-elles des autres menaces en ligne ? Plus important encore, comment les entreprises peuvent-elles les détecter et les prévenir ? Réponses dans cet article !

Qu'est-ce qu'une attaque par credential stuffing ? 

Le credential stuffing est un type de cyber-attaque où les hackers utilisent des noms d'utilisateur et des mots de passe volés lors de violations de données précédentes pour accéder sans autorisation aux comptes d'utilisateur sur diverses plates-formes. Les attaquants exploitent le fait que de nombreux utilisateurs réutilisent les mêmes mots de passe sur différents sites Web et applications, rendant ainsi plus facile la violation de plusieurs comptes avec les mêmes identifiants.

Selon le rapport sur les menaces d'identité 2023 par F5 Labs, le credential stuffing représentait en moyenne 19,4 % du trafic non atténué dans les organisations de divers secteurs. Même après des efforts d'atténuation, 6,0 % du trafic était encore composé de tentatives de bourrage d'identifiants. 

Selon Kaspersky, un fournisseur d'authentification a signalé en moyenne une tentative de bourrage d'identifiants pour deux connexions légitimes en 2022, soulignant à quel point cette méthode est devenue répandue. Cette tendance continue souligne le risque persistant pour les entreprises, en particulier dans des secteurs comme le voyage, les télécommunications et la technologie, qui subissent des taux d'attaques plus élevés que d'autres secteurs.

Mais pour comprendre comment se protéger contre le bourrage d'identifiants, il est crucial de d'abord comprendre comment ces attaques fonctionnent et les techniques utilisées par les attaquants.

Comment fonctionnent les attaques par credential stuffing ?

Les attaques par credential stuffing exploitent la réutilisation des mots de passe en utilisant des outils automatisés, souvent appelés bots, pour tester de grandes listes d'identifiants volés sur divers sites Web. Lorsqu'ils trouvent une correspondance, les hackers obtiennent un accès non autorisé au compte de l'utilisateur. Cette approche automatisée leur permet de tester des millions de paires d'identifiants en peu de temps.

Différence par rapport aux attaques par force brute :

• Les attaques par force brute : tentent de deviner des mots de passe en essayant des combinaisons aléatoires de caractères jusqu'à ce que le bon mot de passe soit trouvé,

• Le credential stuffing : utilise de vrais identifiants provenant de violations de données, rendant le processus plus rapide et plus efficace, 

Techniques courantes utilisées dans le credential stuffing :

1. Botnets : les attaquants utilisent des réseaux d'ordinateurs compromis (botnets) pour distribuer des tentatives de connexion sur plusieurs adresses IP, rendant plus difficile la détection et le blocage de l'attaque,

2. Réseaux proxy : des proxies sont utilisés pour obscurcir l'origine des tentatives de connexion, permettant aux attaquants de contourner les mesures de sécurité,

3. Dumps d'identifiants : des listes d'identifiants volés lors de violations de données passées sont vendues ou partagées sur le dark web, offrant aux attaquants un accès prêt aux noms d'utilisateur et mots de passe.

Exemples d'attaques par credential stuffing récentes

Le credential stuffing reste une menace sérieuse pour les entreprises dans de nombreux secteurs, les attaquants réussissant à pénétrer des comptes en exploitant des identifiants de connexion volés.

Au cours des dernières années, plusieurs grandes entreprises ont été victimes de ce type d'attaques, illustrant la nature répandue et continue du problème. Voici trois exemples récents :

1. PayPal (2022)

En décembre 2022, PayPal a été ciblé dans une attaque par credential stuffing qui a compromis près de 35 000 comptes. Les attaquants ont utilisé des identifiants obtenus lors de violations sur des sites Web non liés pour accéder de manière non autorisée aux comptes PayPal. 

Bien que PayPal ait confirmé qu'il n'y avait aucune preuve d'abus de données clients, ils ont offert aux utilisateurs affectés un abonnement de deux ans au service de surveillance d'identité d'Equifax par précaution. Cet incident souligne l'importance de l'activation de l'authentification à deux facteurs (2FA), qui ajoute une couche de protection supplémentaire contre le bourrage d'identifiants.

2. 23andMe (2023)

Fin 2023, la société de tests génétiques 23andMe a révélé qu'une attaque par credential stuffing avait entraîné le vol d'informations personnelles de millions de ses utilisateurs. Les données volées comprenaient noms, photos de profil, sexe, dates de naissance, et même résultats d'ascendance génétique. 

Selon 23andMe, les attaquants ont probablement obtenu les identifiants de connexion d'autres plates-formes où les utilisateurs avaient réutilisé leurs mots de passe. Ce cas souligne les dangers de la réutilisation des identifiants de connexion sur plusieurs services, rendant plus facile la violation des comptes par les attaquants.

3. Zoom (2020)

En 2020, Zoom a connu une attaque significative, compromettant plus de 500 000 comptes utilisateurs. Les attaquants ont utilisé des identifiants provenant de violations datant de 2013, dont beaucoup ont probablement été vendus sur le dark web. 

En raison de la pratique répandue de la réutilisation des mots de passe, les attaquants ont réussi à accéder à ces comptes en utilisant un outil de "vérification d'identifiants". Cette attaque sert de rappel percutant de la nécessité pour les utilisateurs de mettre à jour et de diversifier régulièrement leurs mots de passe pour protéger leurs comptes d'une compromission.

Quel impact le credential stuffing a-t-il sur votre entreprise ?

Le credential stuffing peut causer des dommages significatifs tant aux entreprises qu'à leurs utilisateurs, avec des conséquences qui affectent la stabilité financière, la confiance des clients et l'efficacité opérationnelle.

1. Pertes financières pour votre entreprise

Le credential stuffing entraîne souvent des transactions frauduleuses, ce qui peut conduire à des pertes financières directes. Les attaquants qui accèdent à des comptes utilisateurs peuvent initier des achats non autorisés, manipuler des points de fidélité ou exploiter des services d'abonnement. Ces activités peuvent entraîner des rejets de paiements, remboursements, et des frais de transaction supplémentaires.

Pour les secteurs comme le commerce électronique et les services financiers, le coût de l'annulation des activités frauduleuses peut rapidement s'accumuler, impactant la rentabilité globale. Au-delà de la perte financière immédiate, les entreprises peuvent également faire face à des primes d'assurance augmentées et à la nécessité d'investir dans des systèmes de prévention des fraudes plus robustes.

2. Perte de confiance des clients et réputation

Lorsque des comptes clients sont compromis, cela impacte significativement la confiance des utilisateurs. Vos clients s'attendent à ce que leurs données personnelles soient sécurisées, et une violation peut leur faire perdre confiance en votre plate-forme. Cela peut entraîner un taux d'abandon des clients, les utilisateurs abandonnant votre service au profit de concurrents. Des critiques négatives et des réactions négatives sur les réseaux sociaux peuvent ternir davantage votre réputation, rendant plus difficile l'attraction de nouveaux utilisateurs ou la fidélisation des existants. 

Pour les entreprises dans des secteurs hautement concurrentiels comme les médias sociaux, la finance et le commerce électronique, les dommages à la réputation d'une attaque par bourrage d'identifiants peuvent avoir des effets à long terme sur la fidélité à la marque.

3. Perturbation opérationnelle et coûts accrus

Les attaques par bourrage d'identifiants entraînent souvent une augmentation des demandes de support client alors que les utilisateurs signalent des activités non autorisées sur leurs comptes. Gérer les prises de contrôle de compte, traiter les réinitialisations de mots de passe et résoudre les plaintes des utilisateurs pèse lourdement sur les équipes de service client. Cette augmentation des demandes de support peut mettre à rude épreuve vos ressources, détournant l'attention des fonctions commerciales principales. 

De plus, les entreprises doivent investir dans des mises à niveau de cybersécurité pour prévenir de futures attaques, ce qui peut accroitre les coûts d'exploitation. Le temps et les efforts nécessaires pour se remettre d'une attaque de grande envergure peuvent perturber les opérations normales et retarder des projets ou initiatives clés.

Comment détecter les attaques par credential stuffing ?

Détecter les attaques par credential stuffing tôt est crucial pour minimiser leur impact. En gardant un œil attentif sur des indicateurs spécifiques, les entreprises peuvent agir rapidement pour atténuer les dégâts. Voici trois signes clés à surveiller :

1. Augmentation des tentatives de connexion échouées

Un des signes les plus évidents d'une attaque par credential stuffing est une soudaine augmentation des tentatives de connexion échouées. Puisque les attaquants utilisent des outils automatisés pour tester des milliers (voire des millions) d'identifiants volés, votre système enregistrera une augmentation anormale des échecs de connexion. 

Ce schéma implique souvent plusieurs tentatives échouées provenant de la même adresse IP ou sur de nombreux comptes utilisateurs. Surveiller de telles augmentations est essentiel pour identifier une attaque en cours.

2. Activité inhabituelle sur les comptes utilisateurs

Les utilisateurs peuvent signaler des activités étranges ou non autorisées sur leurs comptes, tels que des transactions qu'ils n'ont pas effectuées, des changements dans leurs détails de profil, ou un accès depuis des appareils non familiers. Les attaquants qui réussissent à compromettre des comptes par le biais du bourrage d'identifiants les utilisent souvent pour effectuer des actions frauduleuses, telles que des achats ou des manipulations de paramètres de compte. 

Mettre en œuvre des outils pour détecter des anomalies dans le comportement des utilisateurs peut aider à signaler les activités suspectes tôt.

3. Changements inattendus dans les informations du compte

Une fois que les attaquants ont accès à un compte, ils peuvent tenter de verrouiller l'utilisateur légitime en changeant des détails clés comme les adresses e-mail ou les numéros de téléphone. Ces changements inattendus peuvent être un signal d'alarme, surtout s'ils se produisent après plusieurs tentatives de connexion échouées.

Surveiller les modifications soudaines des informations du compte, en particulier après une activité de connexion suspecte, peut aider à prévenir d'autres dommages.

Comment empêcher les attaques par credential stuffing pour protéger vos utilisateurs ?

Prévenir le credential stuffing nécessite une approche multicouches. Voici quelques stratégies clés :

1. Appliquer des politiques de mots de passe robustes

Encouragez les utilisateurs à créer des mots de passe forts et uniques difficiles à deviner. Les mots de passe doivent être une combinaison de lettres, de chiffres et de symboles. Rappelez aux utilisateurs d'éviter de réutiliser des mots de passe sur différentes plates-formes.

2. Éduquer les utilisateurs sur la sensibilisation à la sécurité

Tout comme l'industrie bancaire rappelle fréquemment aux clients de ne jamais partager leurs mots de passe, les entreprises devraient éduquer leurs utilisateurs sur l'importance de la sécurité des mots de passe. Des rappels réguliers concernant la non-réutilisation des mots de passe et le suivi des meilleures pratiques peuvent contribuer grandement à prévenir les attaques par bourrage d'identifiants.

3. Mettre en œuvre des mécanismes de verrouillage de compte

Les mécanismes de verrouillage de compte peuvent prévenir les bots automatisés de faire des tentatives de connexion continues. Après un certain nombre de tentatives échouées, le verrouillage temporaire du compte aide à bloquer d'autres tentatives jusqu'à ce que l'utilisateur vérifie son identité.

4. Utiliser CAPTCHA – avec des limitations

Le CAPTCHA peut aider à bloquer les bots faisant des tentatives de connexion automatisées, mais ce n'est pas une solution parfaite. Les CAPTCHA peuvent affecter négativement l'expérience utilisateur et les taux de conversion, et des bots sophistiqués peuvent parfois les contourner en utilisant des techniques avancées. Nous avons exploré ces limitations plus avant ici.

5. Authentification Multi-Facteurs (MFA)

L'authentification multi-facteurs (MFA) ajoute une couche de sécurité supplémentaire en exigeant que les utilisateurs vérifient leur identité par le biais d'un second facteur, tel qu'un mot de passe à usage unique (OTP) envoyé par SMS. Cela rend beaucoup plus difficile pour les attaquants d'accéder à des comptes, même s'ils ont les identifiants corrects.

Le bourrage d'identifiants est une menace sérieuse et croissante, mais en mettant en œuvre des politiques de mots de passe solides, en éduquant les utilisateurs et en utilisant l'authentification multi-facteurs, les entreprises peuvent réduire considérablement le risque. Prévenir ces attaques protège à la fois vos utilisateurs et votre entreprise des pertes financières et des dommages à la réputation.