Qu’est ce que l’infiltration de comptes ? | Infiltration de comptes ou attaques par force brute

Dans une attaque par infiltration de comptes, des ensembles d’identifiants de connexion dérobés sur un service sont utilisés pour tenter de s’introduire dans les comptes sur divers autres services.

Share facebook icon linkedin icon twitter icon email icon

Infiltration de comptes

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir l’infiltration de comptes
  • Différencier l’infiltration de comptes des attaques par force brute
  • Comprendre les stratégie d’atténuation de l’infiltration de comptes

Qu’est ce que l’infiltration de comptes ?

L’infiltration de comptes est une cyberattaque dans laquelle les identifiants obtenus à partir d’une violation de données sur un service sont utilisés pour tenter de se connecter à un autre service sans relation.

Credential Stuffing Example

Par exemple, un attaquant peut utiliser une liste d’identifiant et de mots de passe obtenus à partir de la violation d’un grand magasin pour tenter de se connecter sur le site d’une banque nationale. L’attaquant espère qu’une partie des clients du grand magasin possèdent également un compte dans cette banque et qu’ils ont utilisé les mêmes identifiants et mots de passe pour les deux services.

En 2019, l’infiltration de comptes était en pleine expansion grâce aux listes massives d’identifiants volés échangés et vendus au marché noir. La prolifération de ces listes, associée aux progrès des outils d’infiltration de comptes qui utilisent des robots pour contourner les protections de connexion traditionnelles, a fait d’infiltration de comptes un vecteur d’attaque populaire.

Pourquoi l’infiltration de comptes est-elle efficace ?

D’un point de vue statistique, les attaques par infiltration de comptes ont un taux de réussite très faible. Beaucoup estime que ce taux est de l’ordre de 0,1 %, ce qui signifie que pour mille comptes subissant une attaque, seul un sera réellement piraté. Le volume total d’identifiants échangés par les attaquants fait de l’infiltration de comptes une méthode valable, malgré le faible taux de succès.

Ces ensembles contiennent des millions, voire des milliards d’identifiants. Si un attaquant dispose d’un million d’identifiants, cela peut mener à environ 1 000 comptes piratés avec succès. Si même seulement un faible pourcentage de comptes piratés fournissent des données exploitables (souvent sous la forme de numéros de carte bancaire ou de données sensibles pouvant être utilisées dans des attaques par hameçonnage), alors l’attaque en vaut la peine. En outre, un attaquant peut répéter le processus avec le même ensemble d’identifiants sur de nombreux autres services.

Les avancées en technologies bot font également de l’infiltration de comptes une attaque viable. Les fonctionnalités de sécurité intégrées dans les formulaires de connexion incluent souvent des délais délibérés et bannissent les adresses IP des utilisateurs qui cumulent les échecs de connexion. Les logiciels d’infiltration de comptes modernes contournent ces protections en utilisant des bots qui essaient simultanément plusieurs identifiants qui semblent être issus de différents types d’appareils et différentes adresses IP. L’objectif des bots malveillants est que les tentatives de connexion de l’attaquant ne puissent pas être distinguées du trafic de connexion type, et ils sont très efficaces.

La plupart du temps, la seule indication de l’attaque pour l’entreprise victime est l’augmentation du volume total de tentatives de connexion. Même ainsi, l’entreprise victime aura du mal à arrêter ces tentatives sans impacter la capacité des utilisateurs légitimes à se connecter au service.

La principale raison de l’efficacité des attaques par infiltration de comptes est la réutilisation des mots de passe par les utilisateurs. Les études suggèrent que la majorité des utilisateurs, selon certaines estimations, jusqu’à 85 %, réutilisent leurs identifiants pour plusieurs services. Tant que perdurera cette pratique, l’infiltration de comptes restera fructueuse.

Quelle est la différence entre l’infiltration de comptes et les attaques par force brute ?

L’OWASP classe l’infiltration de comptes comme un sous ensemble des attaques par force brute. Mais, à proprement parler, l’infiltration de comptes est très différente des attaques par force brute traditionnelles. Les attaques par force brute tentent de deviner les mots de passe sans aucun contexte ou indice en utilisant des caractères aléatoires parfois associés à des suggestions de mots de passe communs. L’infiltration de comptes utilise des données exposées, ce qui réduit fortement le nombre de réponses correctes possibles;

Une bonne défense contre les attaques par force brute est un mot de passe complexe composé de plusieurs caractères, et comprenant des lettres, des chiffres et des caractères spéciaux. Mais la complexité du mot de passe ne protège pas contre l’infiltration de comptes. Peu importe la complexité d’un mot de passe, s’il est utilisé sur différents comptes, il peut être compromis par infiltration de comptes.

Comment éviter l’infiltration de comptes

Comment les utilisateurs peuvent-ils éviter l’infiltration de comptes

Du point de vue de l’utilisateur, il est relativement facile de se protéger contre l’infiltration de comptes. Les utilisateurs devraient toujours utiliser des mots de passe uniques pour chaque service (pour simplifier ce processus, il est conseillé d’utiliser un gestionnaire de mots de passe). Si un utilisateur utilise toujours des mots de passe uniques, l’infiltration de comptes ne fonctionnera pas sur leurs comptes. Par mesure de sécurité supplémentaire, il est recommandé aux utilisateurs d’activer l’authentification à deux facteurs lorsqu’elle est disponible.

Comment les entreprises peuvent-elles éviter l’infiltration de comptes

Bloquer l’infiltration de comptes est plus complexe pour les entreprises qui exécutent des services à authentification. L’infiltration de comptes est le résultat de violation des données d’autres entreprises. La sécurité d’une entreprise victime d’une attaque par infiltration de comptes n’a pas nécessairement été compromise.

Une entreprise peut suggérer à ses utilisateurs de sélectionner des mots de passes uniques mais ne peut pas l’imposer comme une règle. Certaines applications comparent le mot de passe sélectionné à une base de données de mots de passe compromis avant de l’accepter afin de se protéger contre l’infiltration de comptes, mais cette méthode n’est pas infaillible, l’utilisateur pouvant réutiliser un mot de passe d’un service qui n’a pas encore subit de violation.

L’ajout de fonctionnalités de sécurité à la connexion peut permettre d’atténuer l’infiltration de comptes. L’activation de fonctionnalités telles que l’authentification à deux facteurs et la vérification par CAPTCHA des utilisateurs lors des connexions aide également à stopper les robots malveillants. Bien que ces deux fonctionnalités soient gênantes pour les utilisateurs, de l’avis de beaucoup, la réduction de la menace de sécurité en vaut la peine.

La meilleure protection contre l’infiltration de comptes est le service de gestion des bots. La gestion des bots utilise le Rate Limiting associé à une base de données de réputation d'IP pour empêcher les bots malveillants d’essayer de se connecter sans pour autant impacter les identifiants légitimes. La Gestion des robots malveillants par Cloudflare, qui réunit les données de 425 milliards de requêtes acheminées via le réseau Cloudflare chaque jour, peut identifier et arrêter les bots d’infiltration de comptes avec une grande précision.