Le credential stuffing, c’est quoi ?

Le credential stuffing, ou bourrage d’identifiants, est une cybermenace qui permet d’accéder à des comptes d’utilisateurs en ligne à l’aide de noms d’utilisateurs et de mots de passe volés.

En tant que forme d’attaque par force brute, le credential stuffing implique que les cyber-attaquants utilisent l’automatisation pour tenter diverses combinaisons de noms d’utilisateur et de mots de passe jusqu’à ce qu’ils parviennent à une combinaison réussie.

Particulièrement répandues dans les comptes de services financiers, les attaques de credential stuffing sont devenues une cyber-attaque privilégiée par les acteurs de la menace. Selon le Data Breach Investigations Report de Verizon, plus de 80 % des infractions liées au piratage informatique impliquent l’utilisation d’informations d’identification perdues ou volées.

Non seulement le bourrage d’identifiants est l’une des causes les plus courantes des violations de données, mais les données de SpyCloud indiquent que 64 % des personnes réutilisent le même mot de passe sur plusieurs comptes, ce qui les rend particulièrement vulnérables à ce type d’attaques.

Lors d’une attaque de credential stuffing, les acteurs de la menace utilisent des noms d’utilisateur et des mots de passe volés ou ayant fait l’objet d’une fuite, obtenus lors d’une violation de données ou achetés sur le dark web.

Ils utilisent simultanément des outils automatisés pour tester ces informations d’identification sur plusieurs sites web, en misant sur la propension des gens à réutiliser leurs informations de connexion sur différentes plateformes.

L’automatisation joue un rôle crucial dans les attaques de “credential stuffing”. Les cybercriminels utilisent des botnets, qui sont des réseaux d’ordinateurs compromis, pour automatiser les tests de combinaisons de noms d’utilisateur et de mots de passe sur des sites web ciblés.

Cette approche leur permet d’évaluer rapidement un grand nombre d’informations d’identification sur une courte période.

Les attaques de type “credential stuffing” comportent généralement deux phases : la validation et l’exploitation.

Lors de la phase de validation, les botnets testent les paires de noms d’utilisateur et de mots de passe volés afin d’identifier les correspondances réussies. Lorsqu’une correspondance est trouvée, l’attaquant passe à la phase d’exploitation.

Au cours de cette dernière, les informations d’identification validées sont utilisées à diverses fins malveillantes.

Il peut s’agir d’usurpation d’identité, de transactions frauduleuses ou de la vente de comptes compromis sur les marchés du darknet. Les actions entreprises dépendent du type de compte violé, qu’il s’agisse d’un compte d’email personnel ou d’un système d’entreprise.

Les deux types de cyberattaques – le credential stuffing et les attaques par force brute – tentent d’accéder à des comptes d’utilisateurs sans autorisation, mais elles opèrent de manière différente.

Voici les principales différences entre ces deux types d’attaques :

• Méthodologie : Les attaques par force brute tentent de deviner les mots de passe en essayant différentes combinaisons de caractères jusqu’à ce que le mot de passe correct soit trouvé. En revanche, les attaques de credential stuffing utilisent des paires de noms d’utilisateur et de mots de passe volés lors d’une violation de données ou d’un achat sur le dark web pour obtenir un accès non autorisé à des comptes d’utilisateurs sur d’autres systèmes par le biais de demandes de connexion automatisées.
• Renseignement : Les attaques de credential stuffing font appel à plus d’intelligence car elles utilisent des paires d’identifiants précédemment découvertes, alors que les attaques par force brute utilisent des caractères aléatoires ou des suggestions de mots de passe courants.
• L’échelle : Les attaques par credential stuffing sont généralement de grande envergure, avec des milliers ou des millions de paires d’identifiants découverts précédemment et utilisés pour automatiser les connexions. Les attaques par force brute peuvent également être menées à grande échelle, mais elles sont souvent limitées par la complexité des mots de passe.
• Prévention : La prévention des attaques par force brute implique généralement la mise en œuvre de mesures telles que la limitation du débit, les politiques de verrouillage des comptes et les politiques de mots de passe forts. La prévention des attaques de type credential stuffing implique la mise en œuvre d’une authentification multifactorielle, la surveillance des activités de connexion suspectes et le changement régulier des mots de passe.

Bien que les attaques par credential stuffing et par force brute aient des intentions similaires, elles diffèrent par leur méthodologie, leur évolutivité et leurs mesures de prévention.

Les organisations doivent donc comprendre les différences entre ces attaques et mettre en œuvre les mesures de sécurité appropriées pour les prévenir.

Le credential stuffing est une cyberattaque qui a de graves conséquences pour les organisations. Étant donné que les attaques de credential stuffing utilisent des informations de connexion volées, le résultat peut entraîner des pertes financières considérables, une atteinte à la réputation d’une organisation et d’éventuelles répercussions juridiques.

Bon nombre de ces conséquences peuvent se chevaucher.

Comptes compromis et violations de données

L’une des conséquences les plus graves des attaques de credential stuffing est la compromission des comptes d’utilisateurs. Les acteurs malveillants exploitent les identifiants réutilisés ou faibles pour obtenir un accès non autorisé à des comptes individuels.

Des données et des informations sensibles peuvent alors tomber entre de mauvaises mains, exposant potentiellement des détails personnels et financiers.

De telles violations de données érodent la confiance dans les entreprises concernées et peuvent avoir de graves répercussions à la fois pour l’entreprise et pour ses clients.

Verrouillage des comptes et frustration des utilisateurs

Les attaques de type “credential stuffing” bombardent les systèmes d’authentification d’un grand nombre de tentatives de connexion.

En conséquence, les utilisateurs légitimes peuvent être confrontés à des blocages fréquents de leur compte en raison de multiples tentatives de connexion incorrectes.

Cet effet est gênant et peut frustrer l’utilisateur, lui laissant une expérience négative. En cas de blocage prolongé du compte, les clients peuvent chercher d’autres services, ce qui a un impact sur la réputation et les résultats de l’entreprise.

Menaces de ransomware et extorsion

Dans certains cas, les attaques par “credential stuffing” peuvent servir de porte d’entrée à des cybermenaces plus dévastatrices. Une fois que les attaquants ont accédé à un système, ils peuvent déployer un ransomware, chiffrant les données critiques et exigeant une rançon pour leur libération.

Être victime d’une telle extorsion peut être financièrement désastreux pour les entreprises, car elles doivent choisir entre payer la rançon ou perdre l’accès à des données cruciales ou les voir exposées ou utilisées à mauvais escient d’une autre manière.

Impact financier

Les attaques de type credential stuffing peuvent entraîner des pertes financières considérables pour les organisations. Lorsque des attaquants obtiennent un accès non autorisé à des comptes d’utilisateurs, ils peuvent les exploiter à diverses fins, par exemple pour effectuer des achats frauduleux, vider des comptes bancaires ou procéder à une usurpation d’identité.

L’impact financier peut être dévastateur, les entreprises étant confrontées à des pertes financières directes et à des responsabilités potentielles si elles ne protègent pas les comptes de leurs utilisateurs.

Rien qu’en 2020, le secteur des services financiers a subi 3,4 milliards de dollars de pertes dues à de telles attaques.

Atteinte à la réputation

Les attaques de type credential stuffing peuvent gravement nuire à la réputation d’une entreprise. Les comptes d’utilisateurs compromis érodent la confiance dans la capacité d’une organisation à protéger les informations sensibles.

Les clients peuvent douter des mesures de sécurité de l’entreprise et choisir de faire affaire ailleurs. En outre, la nouvelle d’une attaque par credential stuffing peut se répandre rapidement, ternissant encore plus la réputation de l’entreprise et rendant difficile la reconquête de la confiance.

Amendes prévues par le RGPD

Si votre organisation opère en Europe ou traite des données de citoyens européens, sachez que les violations du RGPD (European Union General Data Protection Regulation) peuvent entraîner de lourdes amendes en fonction de la gravité et de la nature de la non-conformité.

La non-conformité au RGPD, y compris la protection inadéquate des comptes d’utilisateurs contre les attaques par credential stuffing, peut entraîner des sanctions financières importantes.

Ces amendes sont basées sur la gravité et la nature de la non-conformité, soulignant l’importance de maintenir des pratiques d’hygiène des mots de passe robustes et de mettre en œuvre des mesures de sécurité solides pour empêcher le credential stuffing.

D’autres juridictions ont des règles similaires et des amendes correspondantes.

Les conséquences des attaques de credential stuffing peuvent être graves et d’une grande portée. Les organisations doivent comprendre les implications de ces attaques et prendre des mesures proactives pour protéger leurs actifs numériques et leur infrastructure.

En mettant en œuvre l’authentification multifactorielle, en surveillant les activités suspectes et en sensibilisant les utilisateurs à la sécurité des mots de passe, les entreprises peuvent atténuer les risques associés au credential stuffing et préserver leur réputation et leur santé financière.

La prévention des attaques de credential stuffing est essentielle tant au niveau personnel qu’au niveau commercial.

Il existe des stratégies que les organisations et les utilisateurs finaux peuvent mettre en œuvre pour minimiser ces cyberattaques. La plupart des attaques de credential stuffing peuvent être efficacement atténuées par la mise en œuvre des mesures de cybersécurité suivantes :

• Utiliser des mots de passe uniques pour chaque service : L’utilisation de mots de passe uniques pour chaque service peut empêcher les cybercriminels d’utiliser les mêmes informations d’identification volées sur plusieurs comptes.
• Utiliser l’authentification multifactorielle : L’authentification multifactorielle (MFA) est une couche de sécurité supplémentaire qui nécessite plus d’une forme d’authentification, comme un mot de passe et une empreinte digitale ou un code à usage unique.
• Utiliser un pare-feu d’application web : Un pare-feu d’application web (WAF) protège contre les attaques de type credential stuffing en bloquant les tentatives de connexion suspectes et en identifiant les schémas d’attaque.
• Surveiller les activités de connexion suspectes : Une surveillance régulière des activités de connexion suspectes peut aider à détecter et à prévenir les attaques par “credential stuffing” avant qu’elles ne causent des dommages.
• Sensibiliser les utilisateurs : Sensibiliser les utilisateurs aux risques du credential stuffing, à l’importance d’utiliser des mots de passe forts et à la manière dont l’activation du MFA peut empêcher les attaques réussies.
• Utiliser une plateforme de gestion des robots : Une plateforme de gestion des robots peut empêcher les attaques de credential stuffing en détectant et en bloquant les tentatives de connexion automatisées.

Dans l’ensemble, la prévention des attaques de credential stuffing nécessite une combinaison de mesures techniques et non techniques.

En mettant en œuvre les mesures de cybersécurité appropriées, les organisations peuvent minimiser les risques d’être victimes d’une attaque de credential stuffing.

Si la prévention est essentielle pour toute entité ou tout compte, la détection est particulièrement cruciale pour les organisations qui cherchent à limiter les attaques de credential stuffing.

C’est une question de vigilance et d’outils appropriés.

Surveillance des tentatives de connexion

La première étape de l’identification des attaques de credential stuffing consiste à observer de près les tentatives de connexion.

Un pic soudain d’échecs de connexion à partir d’une ou de plusieurs adresses IP peut être le signe d’une attaque en cours.

Il est essentiel d’examiner attentivement les schémas tels que les tentatives de connexion en rafale ou les connexions simultanées à l’aide de différentes informations d’identification.

Analyse de l’origine du trafic

Les cybercriminels utilisent souvent des réseaux proxy ou des VPN pour dissimuler leur localisation lors des campagnes de credential stuffing. Il est donc essentiel d’analyser l’origine du trafic pour repérer ces menaces.

Un trafic excessif provenant de pays où vous n’avez pas de clients peut indiquer une attaque imminente.

Analyse du comportement des utilisateurs et des entités

L’analyse du comportement des utilisateurs et des entités (UEBA) joue également un rôle important dans la détection des attaques de credential stuffing.

Il s’agit notamment d’étudier les comportements typiques des utilisateurs, tels que les heures de connexion habituelles, les types d’appareils utilisés pour l’accès et la fréquence des changements de mot de passe, et de signaler tout écart par rapport à ces normes comme des activités potentiellement suspectes.

Reconnaître les signes communs peut aider à une détection précoce, ce qui est vital pour minimiser les dommages potentiels.

Proofpoint propose plusieurs solutions de cybersécurité pour aider à se protéger contre les attaques par credential stuffing.

Voici quelques-unes des plus puissantes :

• Formation à la sensibilisation à la sécurité : Grâce à des solutions d’éducation et de sensibilisation à la cybersécurité, Proofpoint souligne l’importance de la sécurité des mots de passe et encourage les utilisateurs à ne pas réutiliser leurs mots de passe sur différents sites. L’utilisation de mots de passe uniques pour chaque site peut réduire de manière significative le risque d’attaques de credential stuffing.
• Cloud Account Defense : Proofpoint Cloud Account Defense utilise l’intelligence des menaces avancée et l’apprentissage automatique pour détecter les tentatives de connexion suspectes et d’autres signes de compromission des comptes. Lorsqu’une tentative de connexion suspecte est détectée, Cloud Account Defense fournit des informations détaillées sur l’attaque, notamment l’adresse IP source, le type d’attaque et le compte utilisateur ciblé.
• Sécurité et protection de la messagerie : La plateforme de sécurité de la messagerie Proofpoint Aegis utilise des techniques de détection multicouches, notamment l’analyse de la réputation et du contenu, pour aider à se défendre contre des menaces en constante évolution. Alimentée par NexusAI, la solution Email Protection de Proofpoint classifie avec précision les différents types d’emails et détecte et bloque les menaces qui n’impliquent pas de charge utile malveillante, comme la compromission des emails d’entreprise (BEC).
• Prévention des pertes de données : Les solutions de prévention des pertes de données (DLP) de Proofpoint Enterprise utilisent une analyse avancée du contenu pour identifier les données sensibles, telles que les informations personnelles identifiables (PII), les données financières et la propriété intellectuelle. Elles surveillent les mouvements de données sur différents canaux, notamment le courrier électronique, le cloud, les terminaux et le web, afin de détecter et d’empêcher l’exfiltration de données non autorisées. Dotées d’alertes en temps réel, les solutions DLP appliquent également des politiques visant à empêcher l’accès et l’utilisation non autorisés des données, par exemple en bloquant la transmission de données sensibles à l’extérieur de l’organisation ou en chiffrant les données sensibles en transit.

Bien que Proofpoint ne propose pas de solution directe spécifiquement adaptée aux attaques de credential stuffing, sa gamme de solutions de cybersécurité peut contribuer collectivement à atténuer les risques qui y sont associés.

Pour plus d’informations, contactez Proofpoint.