Qu’est ce que le credential stuffing ? | Attaque de credential stuffing ou attaque par force brute

Dans une attaque de credential stuffing, des identifiants de connexion volés à un service sont utilisés pour tenter de s’introduire sur les comptes d'autres services.

Share facebook icon linkedin icon twitter icon email icon

Credential Stuffing

Objectifs d’apprentissage

Après avoir lu cet article, vous :

  • Définir le credential stuffing
  • Différencier le credential stuffing des attaques par force brute
  • Comprendre les stratégies d’atténuation des attaques de credential stuffing

Qu’est ce que l’infiltration de comptes ?

Le credential stuffing est une cyberattaque dans laquelle les identifiants obtenus suite à une violation de données sur un service sont utilisés pour tenter d'établir des connexions à un autre service sans rapport avec le premier.

Exemple de credential stuffing

Par exemple, un pirate peut prendre une liste de noms d'utilisateurs et de mots de passe obtenus suite à une fuite de données d'un grand magasin et utiliser ces informations de connexion pour essayer de se connecter au site d'une banque nationale. Le pirate espère qu'une partie des clients des grands magasins ont également un compte dans cette banque et qu'ils ont réutilisé les mêmes noms d'utilisateur et mots de passe pour les deux services.

À partir de 2019, le credential stuffing a augmenté grâce à des listes massives de cotes falsifiées qui sont échangées et vendues sur le marché noir. La prolifération de ces listes, combinée aux progrès des outils de credential stuffing qui utilisent des bots pour contourner les protections de connexion traditionnelles a fait du credential stuffing un vecteur d'attaque populaire.

Qu'est-ce qui rend le credential stuffing efficace ?

Statistiquement parlant, les attaques de credential stuffing ont un taux de réussite très faible. De nombreuses estimations évaluent ce taux à environ 0,1 %, ce qui signifie que pour chaque millier de comptes qu'un pirate tente de craquer, son taux de réussite est d'environ une fois sur mille. Le volume considérable d'informations d'identification collecté et échangé par des pirates fait que le credential stuffing en vaut la peine, malgré le faible taux de réussite.

Ces ensembles recueillis contiennent des millions, et dans certains cas des milliards d’identifiants. Un pirate qui dispose d’un million d’identifiants peut pirater environ 1 000 comptes avec succès. Même si un faible pourcentage de comptes piratés fournissent des données exploitables (souvent sous la forme de numéros de carte bancaire ou de données sensibles pouvant être utilisées dans des attaques de phishing), alors l’attaque en vaut la peine. En outre, un attaquant peut répéter le processus avec le même ensemble d’identifiants sur de nombreux autres services.

Les avancées en matière de technologie des bots font également du credential stuffing une attaque viable. Les fonctionnalités de sécurité intégrées dans les formulaires de connexion d'application web incluent souvent des délais délibérés et bannissent les adresses IP des utilisateurs qui ont fait plusieurs tentatives de connexion infructueuse. Les logiciels de credential stuffing modernes contournent ces protections en utilisant des bots pour essayer simultanément plusieurs identifiants qui semblent provenir de différents types d’appareils et de différentes adresses IP. L’objectif des bots malveillants est de faire en sorte que les tentatives de connexion du pirate ne puissent pas être distinguées du trafic de connexion typique, et ils sont très efficaces en la matière.

Souvent, la seule indication qu'une entreprise victime a été attaquée est l'augmentation du volume global des tentatives de connexion. Même dans ce cas, l'entreprise victime aura du mal à arrêter ces tentatives sans affecter la capacité des utilisateurs légitimes à se connecter au service.

La principale raison de l'efficacité des attaques de credential stuffing tient à la réutilisation des mots de passe. Des études suggèrent que la majorité des utilisateurs (selon certaines estimations allant jusqu'à 85 %) réutilisent les mêmes informations de connexion pour plusieurs services. Tant que cette pratique se poursuivra, le credential stuffing continuera de porter ses fruits.

Quelle est la différence entre le credential stuffing et les attaques par force brute ?

L'OWASP classe le credential stuffing comme un sous-ensemble des attaques par force brute. Mais, au sens strict, le credential stuffing est très différent des attaques par force brute traditionnelles. Les attaques par force brute tentent de deviner les mots de passe sans aucun contexte ni indice en utilisant des caractères aléatoires, parfois associés à des suggestions de mots de passe communs. Le credential stuffing utilise des données exposées, ce qui réduit fortement le nombre de réponses correctes possibles.

Une bonne défense contre les attaques par force brute est un mot de passe fort composé de plusieurs caractères et comprenant des lettres majuscules, des chiffres et des caractères spéciaux. Mais la force du mot de passe ne protège pas contre le credential stuffing. Peu importe la force d'un mot de passe : s'il est partagé entre différents comptes, le credential stuffing peut le compromettre.

Comment empêcher le credential stuffing

Comment les utilisateurs peuvent empêcher le credential stuffing

Du point de vue de l'utilisateur, il est assez simple de se défendre contre le credential stuffing. L'utilisateur doit utiliser des mots de passe uniques pour chaque service différent (un moyen facile d'y parvenir est d'utiliser un gestionnaire de mots de passe). Si un utilisateur utilise toujours des mots de passe uniques, le credential stuffing ne fonctionnera pas contre ses comptes. Comme mesure de sécurité supplémentaire, il est recommandé aux utilisateurs de toujours activer l'authentification à deux facteurs lorsqu'elle est disponible.

Comment les entreprises peuvent-elles empêcher le credential stuffing ?

Arrêter le credential stuffing est un défi plus complexe pour les entreprises qui exécutent des services d'authentification. Le credential stuffing se produit à la suite de violation de données dans d'autres sociétés. La sécurité d'une entreprise victime d'une attaque de credential stuffing n'est pas nécessairement compromise.

Une entreprise peut suggérer à ses utilisateurs de fournir des mots de passe uniques, mais ne peut pas les appliquer en règle générale. Certaines applications comparent le mot de passe soumis à une base de données de mots de passe compromis connus avant d'accepter le mot de passe comme mesure contre le credential stuffing, mais cette méthode n'est pas infaillible. L'utilisateur pourrait réutiliser un mot de passe d'un service qui n'a pas encore subi de fuite.

Le fait de fournir des fonctionnalités de sécurité de connexion supplémentaires peut aider à atténuer le credential stuffing. L'activation de fonctionnalités telles que l'authentification à deux facteurs et l'obligation pour les utilisateurs de répondre à des captchas lors de la connexion contribuent également à stopper les bots malveillants. Bien que ces deux fonctionnalités gênent les utilisateurs, beaucoup conviennent qu'elles valent la peine face à la gêne occasionnée.

La meilleure protection contre le credential stuffing est le service de gestion des bots. La gestion des bots utilise le Rate Limiting associé à une base de données de réputation d'IP pour bloquer les tentatives de connexion de bots malveillants sans impacter les connexions légitimes. Cloudflare Bot Management, qui réunit les données de 425 milliards de requêtes routées via le réseau Cloudflare chaque jour, peut identifier et arrêter les bots de credential stuffing avec une très grande précision.