Dans une attaque de credential stuffing, des identifiants de connexion volés à un service sont utilisés pour tenter de s’introduire sur les comptes d'autres services.
Cet article s'articule autour des points suivants :
Contenu associé
Attaque par force brute
Attaque par débordement de tampon (buffer overflow)
Attaque de l'homme du milieu
Attaque de phishing
Les défis de l'ingénierie sociale
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le credential stuffing est une cyberattaque dans laquelle les identifiants obtenus suite à une violation de données sur un service sont utilisés pour tenter d'établir des connexions à un autre service sans rapport avec le premier.
Par exemple, un pirate peut prendre une liste de noms d'utilisateurs et de mots de passe obtenus suite à une fuite de données d'un grand magasin et utiliser ces informations de connexion pour essayer de se connecter au site d'une banque nationale. Le pirate espère qu'une partie des clients des grands magasins ont également un compte dans cette banque et qu'ils ont réutilisé les mêmes noms d'utilisateur et mots de passe pour les deux services.
Le nombre d'attaques par infiltration de compte est très répandu en raison des énormes listes d'identifiants volés, échangés et vendus au marché noir. La prolifération de ces listes, associée aux progrès des outils de credential stuffing qui utilisent des bots pour contourner les protections de connexion traditionnelles, a fait du credential stuffing un vecteur d’attaque populaire.
Statistiquement parlant, les attaques de credential stuffing ont un taux de réussite très faible. De nombreuses estimations évaluent ce taux à environ 0,1 %, ce qui signifie que pour chaque millier de comptes qu'un pirate tente de craquer, son taux de réussite est d'environ une fois sur mille. Le volume considérable d'informations d'identification collecté et échangé par des pirates fait que le credential stuffing en vaut la peine, malgré le faible taux de réussite.
Ces ensembles recueillis contiennent des millions, et dans certains cas des milliards d’identifiants. Un pirate qui dispose d’un million d’identifiants peut pirater environ 1 000 comptes avec succès. Même si un faible pourcentage de comptes piratés fournissent des données exploitables (souvent sous la forme de numéros de carte bancaire ou de données sensibles pouvant être utilisées dans des attaques de phishing), alors l’attaque en vaut la peine. En outre, un attaquant peut répéter le processus avec le même ensemble d’identifiants sur de nombreux autres services.
Les avancées en matière de technologie des bots font également du credential stuffing une attaque viable. Les fonctionnalités de sécurité intégrées dans les formulaires de connexion d'application web incluent souvent des délais délibérés et bannissent les adresses IP des utilisateurs qui ont fait plusieurs tentatives de connexion infructueuse. Les logiciels de credential stuffing modernes contournent ces protections en utilisant des bots pour essayer simultanément plusieurs identifiants qui semblent provenir de différents types d’appareils et de différentes adresses IP. L’objectif des bots malveillants est de faire en sorte que les tentatives de connexion du pirate ne puissent pas être distinguées du trafic de connexion typique, et ils sont très efficaces en la matière.
Souvent, la seule indication qu'une entreprise victime a été attaquée est l'augmentation du volume global des tentatives de connexion. Même dans ce cas, l'entreprise victime aura du mal à arrêter ces tentatives sans affecter la capacité des utilisateurs légitimes à se connecter au service.
La principale raison de l'efficacité des attaques de credential stuffing tient à la réutilisation des mots de passe. Des études suggèrent que la majorité des utilisateurs (selon certaines estimations allant jusqu'à 85 %) réutilisent les mêmes informations de connexion pour plusieurs services. Tant que cette pratique se poursuivra, le credential stuffing continuera de porter ses fruits.
L'OWASP classe le credential stuffing comme un sous-ensemble des attaques par force brute. Mais, au sens strict, le credential stuffing est très différent des attaques par force brute traditionnelles. Les attaques par force brute tentent de deviner les mots de passe sans aucun contexte ni indice en utilisant des caractères aléatoires, parfois associés à des suggestions de mots de passe communs. Le credential stuffing utilise des données exposées, ce qui réduit fortement le nombre de réponses correctes possibles.
Une bonne défense contre les attaques par force brute est un mot de passe fort composé de plusieurs caractères et comprenant des lettres majuscules, des chiffres et des caractères spéciaux. Mais la force du mot de passe ne protège pas contre le credential stuffing. Peu importe la force d'un mot de passe : s'il est partagé entre différents comptes, le credential stuffing peut le compromettre.
Du point de vue de l’utilisateur, il est relativement facile de se protéger contre l’infiltration de comptes. Les utilisateurs devraient toujours utiliser des mots de passe uniques pour chaque service (pour simplifier ce processus, il est conseillé d’utiliser un gestionnaire de mots de passe). Si un utilisateur utilise toujours des mots de passe uniques, l’infiltration de comptes ne fonctionnera pas sur leurs comptes. Par mesure de sécurité supplémentaire, il est recommandé aux utilisateurs d’activer l’authentification à deux facteurs lorsqu’elle est disponible.
Arrêter le credential stuffing est un défi plus complexe pour les entreprises qui exécutent des services d'authentification. Le credential stuffing se produit à la suite de violation de données dans d'autres sociétés. La sécurité d'une entreprise victime d'une attaque de credential stuffing n'est pas nécessairement compromise.
Une entreprise peut suggérer à ses utilisateurs de fournir des mots de passe uniques, mais ne peut pas les appliquer en règle générale. Certaines applications comparent le mot de passe soumis à une base de données de mots de passe compromis connus avant d'accepter le mot de passe comme mesure contre le credential stuffing, mais cette méthode n'est pas infaillible. L'utilisateur pourrait réutiliser un mot de passe d'un service qui n'a pas encore subi de fuite.
Le fait de fournir des fonctionnalités de sécurité de connexion supplémentaires peut contribuer à l'atténuation du bourrage d'identifiants (Credential Stuffing). Les fonctionnalités telles que l'authentification à deux facteurs et l'obligation pour les utilisateurs de répondre à des captchas lors de la connexion sont également une aide utile pour stopper les bots malveillants. Certes ces deux fonctionnalités gênent les utilisateurs, cependant beaucoup conviendront que la possibilité de réduire les menaces pour la sécurité compense largement quelques désagréments.
La protection la plus efficace contre le bourrage de crédits est un service de gestion des bots. La gestion des bots utilise la limitation du débit combinée à une base de données de réputation IP pour empêcher les bots malveillants de faire des tentatives de connexion sans avoir d'impact sur les connexions légitimes. Cloudflare Bot Management, qui rassemble les données de 25 millions de requêtes moyennes par seconde acheminées par le réseau Cloudflare, peut identifier et arrêter les bots de remplissage d'informations d'identification avec une très grande précision.Pour les organisations qui veulent les mêmes capacités de blocage des bots sans avoir besoin d'une solution d'entreprise, Super Bot Fight Mode est maintenant disponible sur les plans Pro et Business de Cloudflare. Grâce au Super Bot Fight Mode, les petites entreprises peuvent bénéficier d'une visibilité et d'un contrôle accrus sur le trafic de leurs bots.