Qu’est ce que l’infiltration de comptes ? | Infiltration de comptes ou attaques par force brute

Dans une attaque par infiltration de comptes, des ensembles d’identifiants de connexion dérobés sur un service sont utilisés pour tenter de s’introduire dans les comptes sur divers autres services.

Share facebook icon linkedin icon twitter icon email icon

Infiltration de comptes

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir l’infiltration de comptes
  • Différencier l’infiltration de comptes des attaques par force brute
  • Comprendre les stratégie d’atténuation de l’infiltration de comptes

Qu’est ce que l’infiltration de comptes ?

L’infiltration de comptes

est une cyberattaque dans laquelle les identifiants obtenus à partir d’une fuite de données sur un service sont utilisés pour tenter de se connecter à un autre service différent.

Credential Stuffing Example

Par exemple, un pirate peut prendre une liste de noms d'utilisateurs et de mots de passe obtenus suite à une fuite d'un grand magasin et utiliser les mêmes informations de connexion pour essayer de se connecter au site d'une banque nationale. Le pirate espère qu'une partie de ces clients des grands magasins ont également un compte dans cette banque et qu'ils ont réutilisé les mêmes noms d'utilisateur et mots de passe pour les deux services.

À partir de 2019, l'infiltration de compte a augmenté grâce aux fuites massives des listes d'informations d'identification qui sont échangées et vendues sur le marché noir. La prolifération de ces listes, combinée aux progrès des outils d'infiltration de compte qui utilisent des bots pour contourner les protections de connexion traditionnelles, ont fait de l'infiltration de compte un vecteur d'attaque populaire.

Qu'est-ce qui rend l'infiltration de compte efficace ?

Statistiquement parlant, les attaques par infiltration de compte ont un taux de réussite très faible. De nombreuses estimations ont ce taux d'environ 0,1 %, ce qui signifie que pour chaque millier de comptes qu'un pirate tente d'infiltrer, il réussira à peu près une fois. Le volume considérable d'informations d'identification collectées et échangées par des pirates fait que l'infiltration de compte en vaut la peine, malgré le faible taux de réussite.

Ces collectes contiennent des millions et, dans certains cas, des milliards d'informations d'identification de connexion. Si un pirate possède un million de jeux d'informations d'identification, cela pourrait générer environ 1 000 comptes piratés avec succès. Si même un petit pourcentage des comptes piratés fournit des données rentables (souvent sous la forme de numéros de carte de crédit ou de données sensibles pouvant être utilisées dans des attaques par hameçonnage), alors l'attaque en vaut la peine. De plus, le pirate peut répéter le processus en utilisant les mêmes ensembles d'informations d'identification sur de nombreux services différents.

Les progrès de la technologie des bots font également de l'infiltration de compte une attaque viable. Les fonctionnalités de sécurité intégrées aux formulaires de connexion aux applications Web incluent souvent des retards délibérés et l'interdiction des adresses IP des utilisateurs qui ont effectués plusieurs tentatives de connexion infructueuses. Un logiciel d'infiltration de compte moderne contourne ces protections en utilisant des bots pour tenter simultanément plusieurs connexions qui semblent provenir de divers types de périphériques et de différentes adresses IP. Le but du bot malveillant est de rendre les tentatives de connexion du pirate indiscernables du trafic de connexion typique, et c'est très efficace.

Souvent, la seule indication que l'entreprise victime a été attaquée est l'augmentation du volume global des tentatives de connexion. Même dans ce cas, l'entreprise victime aura du mal à arrêter ces tentatives sans affecter la capacité des utilisateurs légitimes à se connecter au service.

La principale raison pour laquelle les attaques par infiltration de compte sont efficaces est que les gens réutilisent les mots de passe. Des études suggèrent que la majorité des utilisateurs, selon des estimations allant jusqu'à 85 %, réutilisent les mêmes informations de connexion pour plusieurs services. Tant que cette pratique se poursuivra, l'infiltration de compte restera fructueux.

Quelle est la différence entre l'infiltration de compte et les attaques par force brute ?

OWASP catégorise l'infiltration de compte comme un sous-ensemble d'attaques par force brute. Mais, de manière stricte, l'infiltration de compte est très différente des attaques traditionnelles par force brute. Les attaques par force brute tentent de deviner les mots de passe sans contexte ni indice, en utilisant des caractères au hasard parfois combinés avec des suggestions de mots de passe courants. L'infiltration de compte utilise des données exposées, ce qui réduit considérablement le nombre de réponses correctes possibles.

Une bonne défense contre les attaques par force brute est un mot de passe fort composé de plusieurs caractères et comprenant des lettres majuscules, des chiffres et des caractères spéciaux. Mais la force du mot de passe ne protège pas contre l'infiltration de compte. Peu importe la force d'un mot de passe ; s'il est partagé entre différents comptes, il peut être compromis par l'infiltration de compte.

Comment éviter l'infiltration de compte

Comment les utilisateurs peuvent-ils empêcher l'infiltration de compte ?

Du point de vue d'un utilisateur, se défendre contre l'infiltration de compte est assez simple. Les utilisateurs doivent toujours utiliser des mots de passe uniques pour chaque service différent (un moyen facile d'y parvenir est d'utiliser un gestionnaire de mots de passe). Si un utilisateur utilise toujours des mots de passe uniques, l'infiltration de compte ne fonctionnera pas avec ses comptes. Comme mesure de sécurité supplémentaire, les utilisateurs sont encouragés à toujours activer l'authentification à deux facteurs lorsqu'elle est disponible.

Comment les entreprises peuvent-elles empêcher l'infiltration de compte ?

Arrêter l'infiltration de compte est un défi plus complexe pour les entreprises qui exécutent des services d'authentification. L'infiltration de compte se produit à la suite de fuites de données dans d'autres sociétés. Une entreprise victime d'une attaque par infiltration de compte n'a pas nécessairement subi une réduction de sa sécurité.

Une entreprise peut suggérer à ses utilisateurs de fournir des mots de passe uniques, mais ne peut pas les appliquer en règle générale. Certaines applications exécuteront un mot de passe soumis sur une base de données de mots de passe compromis connus avant d'accepter le mot de passe comme mesure contre l'infiltration de compte, mais cela n'est pas infaillible ; l'utilisateur pourrait réutiliser un mot de passe d'un service qui n'a pas encore subi de fuite.

Fournir des fonctionnalités de sécurité de connexion supplémentaires peut aider à atténuer l'infiltration de compte. L'activation de fonctionnalités telles que l'authentification à deux facteurs et l'obligation pour les utilisateurs de remplir des captchas lors de la connexion permettent également de stopper les bots malveillants. Bien que ces deux fonctionnalités gênent les utilisateurs, beaucoup conviendraient que cela vaut la peine pour réduire les failles de sécurité.

La meilleure protection contre l'infiltration de compte est un service de gestion de bots. La gestion des bots utilise le Rate Limiting combiné à une base de données de réputation IP pour empêcher les bots malveillants de faire des tentatives de connexion sans affecter les connexions légitimes. Cloudflare Bot Management, qui recueille quotidiennement des données provenant de 425 milliards de demandes acheminées via le réseau Cloudflare, peut identifier et arrêter les bots d'infiltration de compte avec une très grande précision.