What is credential stuffing? | Credential stuffing vs. brute force attacks

Dans une attaque de credential stuffing, des identifiants de connexion volés à un service sont utilisés pour tenter de s’introduire sur les comptes d'autres services.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le credential stuffing
  • Différencier le credential stuffing des attaques par force brute
  • Comprendre les stratégies d’atténuation des attaques de credential stuffing

Copier le lien de l'article

Qu’est ce que l’infiltration de comptes ?

Credential stuffing is a cyber attack in which credentials obtained from a data breach on one service are used to attempt to log in to another unrelated service.

Exemple de credential stuffing

Par exemple, un pirate peut prendre une liste de noms d'utilisateurs et de mots de passe obtenus suite à une fuite de données d'un grand magasin et utiliser ces informations de connexion pour essayer de se connecter au site d'une banque nationale. Le pirate espère qu'une partie des clients des grands magasins ont également un compte dans cette banque et qu'ils ont réutilisé les mêmes noms d'utilisateur et mots de passe pour les deux services.

Credential stuffing is widespread thanks to massive lists of breached credentials being traded and sold on the black market. The proliferation of these lists, combined with advancements in credential stuffing tools that use bots to get around traditional login protections, have made credential stuffing a popular attack vector.

Qu'est-ce qui rend le credential stuffing efficace ?

Statistiquement parlant, les attaques de credential stuffing ont un taux de réussite très faible. De nombreuses estimations évaluent ce taux à environ 0,1 %, ce qui signifie que pour chaque millier de comptes qu'un pirate tente de craquer, son taux de réussite est d'environ une fois sur mille. Le volume considérable d'informations d'identification collecté et échangé par des pirates fait que le credential stuffing en vaut la peine, malgré le faible taux de réussite.

Ces ensembles recueillis contiennent des millions, et dans certains cas des milliards d’identifiants. Un pirate qui dispose d’un million d’identifiants peut pirater environ 1 000 comptes avec succès. Même si un faible pourcentage de comptes piratés fournissent des données exploitables (souvent sous la forme de numéros de carte bancaire ou de données sensibles pouvant être utilisées dans des attaques de phishing), alors l’attaque en vaut la peine. En outre, un attaquant peut répéter le processus avec le même ensemble d’identifiants sur de nombreux autres services.

Les avancées en matière de technologie des bots font également du credential stuffing une attaque viable. Les fonctionnalités de sécurité intégrées dans les formulaires de connexion d'application web incluent souvent des délais délibérés et bannissent les adresses IP des utilisateurs qui ont fait plusieurs tentatives de connexion infructueuse. Les logiciels de credential stuffing modernes contournent ces protections en utilisant des bots pour essayer simultanément plusieurs identifiants qui semblent provenir de différents types d’appareils et de différentes adresses IP. L’objectif des bots malveillants est de faire en sorte que les tentatives de connexion du pirate ne puissent pas être distinguées du trafic de connexion typique, et ils sont très efficaces en la matière.

Souvent, la seule indication qu'une entreprise victime a été attaquée est l'augmentation du volume global des tentatives de connexion. Même dans ce cas, l'entreprise victime aura du mal à arrêter ces tentatives sans affecter la capacité des utilisateurs légitimes à se connecter au service.

La principale raison de l'efficacité des attaques de credential stuffing tient à la réutilisation des mots de passe. Des études suggèrent que la majorité des utilisateurs (selon certaines estimations allant jusqu'à 85 %) réutilisent les mêmes informations de connexion pour plusieurs services. Tant que cette pratique se poursuivra, le credential stuffing continuera de porter ses fruits.

Quelle est la différence entre le credential stuffing et les attaques par force brute ?

L'OWASP classe le credential stuffing comme un sous-ensemble des attaques par force brute. Mais, au sens strict, le credential stuffing est très différent des attaques par force brute traditionnelles. Les attaques par force brute tentent de deviner les mots de passe sans aucun contexte ni indice en utilisant des caractères aléatoires, parfois associés à des suggestions de mots de passe communs. Le credential stuffing utilise des données exposées, ce qui réduit fortement le nombre de réponses correctes possibles.

Une bonne défense contre les attaques par force brute est un mot de passe fort composé de plusieurs caractères et comprenant des lettres majuscules, des chiffres et des caractères spéciaux. Mais la force du mot de passe ne protège pas contre le credential stuffing. Peu importe la force d'un mot de passe : s'il est partagé entre différents comptes, le credential stuffing peut le compromettre.

Comment empêcher le credential stuffing

Comment les utilisateurs peuvent empêcher le credential stuffing

From a user’s point of view, defending against credential stuffing is pretty straightforward. Users should always use unique passwords for each different service (an easy way to achieve this is with a password manager). If a user always uses unique passwords, credential stuffing will not work against their accounts. As an added measure of security, users are encouraged to always enable two-factor authentication when it’s available.

Comment les entreprises peuvent-elles empêcher le credential stuffing ?

Arrêter le credential stuffing est un défi plus complexe pour les entreprises qui exécutent des services d'authentification. Le credential stuffing se produit à la suite de violation de données dans d'autres sociétés. La sécurité d'une entreprise victime d'une attaque de credential stuffing n'est pas nécessairement compromise.

Une entreprise peut suggérer à ses utilisateurs de fournir des mots de passe uniques, mais ne peut pas les appliquer en règle générale. Certaines applications comparent le mot de passe soumis à une base de données de mots de passe compromis connus avant d'accepter le mot de passe comme mesure contre le credential stuffing, mais cette méthode n'est pas infaillible. L'utilisateur pourrait réutiliser un mot de passe d'un service qui n'a pas encore subi de fuite.

Providing added login security features can help mitigate credential stuffing. Enabling features like two-factor authentication and requiring users to fill out captchas when logging in both also help stop malicious bots. While these are both features that inconvenience users, many would agree that minimizing the security threat is worth the inconvenience.

The strongest protection against credential stuffing is a bot management service. Bot management uses rate limiting combined with an IP reputation database to stop malicious bots from making login attempts without impacting legitimate logins. Cloudflare Bot Management, which gathers data from 25 million average requests per second routed through the Cloudflare network, can identify and stop credential-stuffing bots with very high accuracy.For organizations that want the same bot-blocking abilities but do not need an enterprise solution, Super Bot Fight Mode is now available on Cloudflare Pro and Business plans. With Super Bot Fight Mode, smaller organizations can take advantage of increased visibility and control over their bot traffic.