Qu’est ce que l’infiltration de comptes ? Infiltration de comptes ou attaques par force brute

Dans une attaque de credential stuffing, des identifiants de connexion volés à un service sont utilisés pour tenter de s’introduire sur les comptes d'autres services.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le credential stuffing
  • Différencier le credential stuffing des attaques par force brute
  • Comprendre les stratégies d’atténuation des attaques de credential stuffing

Copier le lien de l'article

Qu’est ce que l’infiltration de comptes ?

Le credential stuffing est une cyberattaque dans laquelle les identifiants obtenus suite à une violation de données sur un service sont utilisés pour tenter d'établir des connexions à un autre service sans rapport avec le premier.

Par exemple, un pirate peut prendre une liste de noms d'utilisateurs et de mots de passe obtenus suite à une fuite de données d'un grand magasin et utiliser ces informations de connexion pour essayer de se connecter au site d'une banque nationale. Le pirate espère qu'une partie des clients des grands magasins ont également un compte dans cette banque et qu'ils ont réutilisé les mêmes noms d'utilisateur et mots de passe pour les deux services.

Le nombre d'attaques par infiltration de compte est très répandu en raison des énormes listes d'identifiants volés, échangés et vendus au marché noir. La prolifération de ces listes, associée aux progrès des outils de credential stuffing qui utilisent des bots pour contourner les protections de connexion traditionnelles, a fait du credential stuffing un vecteur d’attaque populaire.

Qu'est-ce qui rend le credential stuffing efficace ?

Statistiquement parlant, les attaques de credential stuffing ont un taux de réussite très faible. De nombreuses estimations évaluent ce taux à environ 0,1 %, ce qui signifie que pour chaque millier de comptes qu'un pirate tente de craquer, son taux de réussite est d'environ une fois sur mille. Le volume considérable d'informations d'identification collecté et échangé par des pirates fait que le credential stuffing en vaut la peine, malgré le faible taux de réussite.

Ces ensembles recueillis contiennent des millions, et dans certains cas des milliards d’identifiants. Un pirate qui dispose d’un million d’identifiants peut pirater environ 1 000 comptes avec succès. Même si un faible pourcentage de comptes piratés fournissent des données exploitables (souvent sous la forme de numéros de carte bancaire ou de données sensibles pouvant être utilisées dans des attaques de phishing), alors l’attaque en vaut la peine. En outre, un attaquant peut répéter le processus avec le même ensemble d’identifiants sur de nombreux autres services.

Les avancées en matière de technologie des bots font également du credential stuffing une attaque viable. Les fonctionnalités de sécurité intégrées dans les formulaires de connexion d'application web incluent souvent des délais délibérés et bannissent les adresses IP des utilisateurs qui ont fait plusieurs tentatives de connexion infructueuse. Les logiciels de credential stuffing modernes contournent ces protections en utilisant des bots pour essayer simultanément plusieurs identifiants qui semblent provenir de différents types d’appareils et de différentes adresses IP. L’objectif des bots malveillants est de faire en sorte que les tentatives de connexion du pirate ne puissent pas être distinguées du trafic de connexion typique, et ils sont très efficaces en la matière.

Souvent, la seule indication qu'une entreprise victime a été attaquée est l'augmentation du volume global des tentatives de connexion. Même dans ce cas, l'entreprise victime aura du mal à arrêter ces tentatives sans affecter la capacité des utilisateurs légitimes à se connecter au service.

La principale raison de l'efficacité des attaques de credential stuffing tient à la réutilisation des mots de passe. Des études suggèrent que la majorité des utilisateurs (selon certaines estimations allant jusqu'à 85 %) réutilisent les mêmes informations de connexion pour plusieurs services. Tant que cette pratique se poursuivra, le credential stuffing continuera de porter ses fruits.

Quelle est la différence entre le credential stuffing et les attaques par force brute ?

L'OWASP classe le credential stuffing comme un sous-ensemble des attaques par force brute. Mais, au sens strict, le credential stuffing est très différent des attaques par force brute traditionnelles. Les attaques par force brute tentent de deviner les mots de passe sans aucun contexte ni indice en utilisant des caractères aléatoires, parfois associés à des suggestions de mots de passe communs. Le credential stuffing utilise des données exposées, ce qui réduit fortement le nombre de réponses correctes possibles.

Une bonne défense contre les attaques par force brute est un mot de passe fort composé de plusieurs caractères et comprenant des lettres majuscules, des chiffres et des caractères spéciaux. Mais la force du mot de passe ne protège pas contre le credential stuffing. Peu importe la force d'un mot de passe : s'il est partagé entre différents comptes, le credential stuffing peut le compromettre.

Comment empêcher le credential stuffing

Comment les utilisateurs peuvent empêcher le credential stuffing

Du point de vue de l’utilisateur, il est relativement facile de se protéger contre l’infiltration de comptes. Les utilisateurs devraient toujours utiliser des mots de passe uniques pour chaque service (pour simplifier ce processus, il est conseillé d’utiliser un gestionnaire de mots de passe). Si un utilisateur utilise toujours des mots de passe uniques, l’infiltration de comptes ne fonctionnera pas sur leurs comptes. Par mesure de sécurité supplémentaire, il est recommandé aux utilisateurs d’activer l’authentification à deux facteurs lorsqu’elle est disponible.

Comment les entreprises peuvent-elles empêcher le credential stuffing ?

Arrêter le credential stuffing est un défi plus complexe pour les entreprises qui exécutent des services d'authentification. Le credential stuffing se produit à la suite de violation de données dans d'autres sociétés. La sécurité d'une entreprise victime d'une attaque de credential stuffing n'est pas nécessairement compromise.

Une entreprise peut suggérer à ses utilisateurs de fournir des mots de passe uniques, mais ne peut pas les appliquer en règle générale. Certaines applications comparent le mot de passe soumis à une base de données de mots de passe compromis connus avant d'accepter le mot de passe comme mesure contre le credential stuffing, mais cette méthode n'est pas infaillible. L'utilisateur pourrait réutiliser un mot de passe d'un service qui n'a pas encore subi de fuite.

L’ajout de fonctionnalités de sécurité à la connexion peut permettre d’atténuer l’infiltration de comptes. L’activation de fonctionnalités telles que l’authentification à deux facteurs et la vérification par captchas des utilisateurs lors des connexions aide également à stopper les robots malveillants. Bien que ces deux fonctionnalités soient gênantes pour les utilisateurs, de l’avis de beaucoup, la réduction de la menace de sécurité en vaut la peine.

La protection la plus efficace contre le bourrage de crédits est un service de gestion des bots. La gestion des bots utilise la limitation du débit combinée à une base de données de réputation IP pour empêcher les bots malveillants de faire des tentatives de connexion sans avoir d'impact sur les connexions légitimes. Cloudflare Bot Management, qui rassemble les données de 25 millions de requêtes moyennes par seconde acheminées par le réseau Cloudflare, peut identifier et arrêter les bots de remplissage d'informations d'identification avec une très grande précision.Pour les organisations qui veulent les mêmes capacités de blocage des bots sans avoir besoin d'une solution d'entreprise, Super Bot Fight Mode est maintenant disponible sur les plans Pro et Business de Cloudflare. Grâce au Super Bot Fight Mode, les petites entreprises peuvent bénéficier d'une visibilité et d'un contrôle accrus sur le trafic de leurs bots.