Le credential stuffing a lieu lorsque des attaquants utilisent une liste d’identifiants utilisateurs volés pour pénétrer dans un système. Les identifiants qu’ils utilisent ont déjà été obtenus lors d’une fuite de données antérieure et sont désormais utilisés pour accéder au système ciblé.
Cet article décrit en profondeur ce qu’est le credential stuffing, son fonctionnement ainsi que les mesures de prévention et les solutions de cybersécurité pouvant éviter qu’il n’affecte votre organisation.
Les attaques par credential stuffing sont généralement réalisées à grande échelle et automatisées à l’aide de bots. Étant donné que de nombreux utilisateurs recyclent leurs identifiants de connexion ou les utilisent sur plusieurs comptes, ces bots peuvent être utilisés pour « bourrer » rapidement les systèmes avec ces identifiants jusqu’à ce que l’un d’entre eux fonctionne.
Par exemple, imaginons qu’un attaquant obtienne les identifiants d’un utilisateur ayant été exposés lors d’une fuite de données chez un vendeur en ligne. En s’aidant de bots, pour lancer une attaque à grande échelle, ils utilisent ensuite la même liste d’identifiants pour tenter de manière répétée de se connecter au site d’une banque. Si l’un des utilisateurs dont les identifiants figurent sur la liste a utilisé les mêmes identifiants sur le site de cette banque, son compte pourrait être usurpé.
Un attaquant n’a même pas besoin de créer une faille chez un vendeur en ligne pour obtenir une liste d’identifiants. De nombreuses listes d’identifiants volés peuvent être achetées sur le dark web, et chaque liste peut contenir des millions de paires d’identifiants. Si l’on s’appuie sur le taux de réussite du credential stuffing, pour chaque million de paires d’identifiants, un attaquant pourrait facilement pénétrer dans 1 000 comptes. Le temps que l’attaquant consacre au credential stuffing est donc rentable.
Associez ces efforts à une technologie de bot avancée et à des utilisateurs peu précautionneux qui continuent de réutiliser des identifiants, et vous aurez un vecteur d’attaque gagnant pour les cybercriminels.
Il convient aussi de noter que lorsqu’une entreprise est ciblée par un credential stuffing, un attaquant qui parvient à accéder à des comptes individuels ne signifie pas forcément que la sécurité de l’organisation est compromise. Toutefois, les entreprises qui gèrent les comptes utilisateurs impliquées dans des attaques par credential stuffing réussies peuvent agir pour prévenir les fraudes, les mauvaises utilisations ou les pertes directes.
Il est essentiel de comprendre ce processus pour réduire vos risques d’être victime d’un credential stuffing. Pour paramétrer et réaliser une attaque par credential stuffing, les cybercriminels suivent quelques étapes de base.
L’attaquant crée un bot pouvant automatiser des tentatives de connexion en parallèle depuis plusieurs adresses IP.
L’attaquant fournit une liste d’identifiants volés, puis par le biais d’un processus automatisé, il lance ces identifiants en parallèle sur les sites web cibles.
Pendant ce processus, l’attaquant regarde si des connexions réussissent. Pour chacune d’entre elle, il ou elle pourra voler des informations personnelles comme le numéro de compte ou de carte bancaire, l’adresse ou d’autres informations confidentielles.
Une fois que le cybercriminel dispose de ces précieuses informations, il pourra les utiliser pour réaliser des transactions frauduleuses, faire du phishing ou commettre d’autres délits.
Vous vous demandez peut-être quelle est la différence entre le credential stuffing et une attaque par force brute. Selon l’OSASP, le credential stuffing est en réalité une sous-catégorie des attaques par force brute. Toutefois, il existe des différences fondamentales entre les deux :
Le credential stuffing utilise des identifiants connus et ayant été exposés. À l’inverse, les attaques par force brute tentent de deviner les mots de passe sans avoir le moindre indice ou sans élément de contexte en s’appuyant sur des caractères aléatoires, des suggestions de mots de passe courants ou des séquences utilisées fréquemment.
Les mots de passe simples et faciles à deviner sont les plus vulnérables aux attaques par force brute. Dans le cas du credential stuffing, la complexité du mot de passe importe peu.
Les utilisateurs peuvent se défendre contre les attaques par force brute en utilisant des mots de passe robustes et uniques, mais si leurs données sont exposées et utilisées dans le cadre d’un credential stuffing, la qualité de ces mots de passe n’aura aucune incidence. (Pour être mieux protégées, les entreprises devraient appliquer l’authentification multifacteur lorsque c’est possible).
En raison de ces différences, le credential stuffing a bien plus de chances de réussir qu’une attaque par force brute.
Les attaques par credential stuffing sont de plus en plus nombreuses et ne sont pas prêtes à disparaître. Il est donc fondamental de comprendre ces attaques et de savoir comment les éviter.
Selon des données recueillies par F5, le nombre d’incidents découlant des identifiants par an a presque doublé entre 2016 et 2020. Bien qu’une inquiétude croissante donne lieu à de plus en plus sur des bonnes pratiques en matière de stockage d’identifiants et de mots de passe, les comportements adoptés dans le secteur ne suivent pas ce consensus. Par exemple, les mots de passe stockés en plaintext sont de loin le premier facteur de déversement d’identifiants.
Pour les utilisateurs, prévenir le credential stuffing au quotidien n’est pas difficile. Choisir des mots de passe uniques pour chaque service utilisé réduira l’efficacité du credential stuffing (les gestionnaires de mots de passe peuvent rendre cela encore plus facile). Les utilisateurs particuliers peuvent renforcer leurs identifiants de connexion en activant l’authentification à double facteur lorsqu’elle est disponible.
Pour ce qui est des entreprises et des organisations, la prévention du credential stuffing est plus compliquée, surtout pour celles qui ont recours à des services d’authentification. Une organisation peut demander à ses utilisateurs de choisir des mots de passe uniques, mais elle ne peut pas vraiment les y obliger.
Heureusement, les organisations peuvent se protéger de diverses manières contre les attaques par credential stuffing.
CAPTCHA est une méthode de prévention des fraudes qui demande aux utilisateurs de prouver qu’ils sont humains avant de pouvoir se connecter. Typiquement, cela inclut de lire un ensemble de caractères obscurcis et de les taper dans une case, ou bien d’identifier et de sélectionner les photos de certains éléments à partir de plusieurs images différentes.
L’inconvénient du CAPTCHA est que les attaquants peuvent utiliser des navigateurs headless pour les contourner. Il ne peut pas être utilisé dans n’importe quel scénario et il est préférable de combiner le CAPTCHA à d’autres mesures de prévention. PingOne Fraud, par exemple, fournit une solution complète de prévention des fraudes.
Le MFA est très efficace contre le credential stuffing. Il demande à chaque utilisateur d’authentifier son identité avec quelque chose qu’il sait et quelque chose qu’il a. Par exemple, en plus d’un mot de passe, d’une séquence ou d’un code PIN (personal identification number), pour s’authentifier avec le MFA l’utilisateur devra aussi avoir physiquement accès à son téléphone portable, à sa tablette ou à un jeton d’accès. En cas d’appareil portable, un code peut être envoyé à l’appareil et l’utilisateur devra le saisir pour obtenir l’accès demandé.
Exiger le MFA pour chaque utilisateur ou chaque action pourrait ne pas être faisable dans chaque situation, mais il est possible de l’utiliser avec d’autres méthodes d’authentification comme l’empreinte des appareils.
L’empreinte des appareils ne signifie pas que l’utilisateur doivent utiliser une vraie empreinte pour se connecter. Grâce à JavaScript, l’empreinte des appareils obtient une série de points de données sur les appareils de l’utilisateur, comme :
Système d’exploitation
Navigateur
Langue
Fuseau horaire
Utilisateur-Agent
Adresse IP
En-têtes de demande HTTP
Informations sur la batterie
Résolution de l’écran
Informations VPN
Données Flash
Ces informations sont utilisées pour compiler une « empreinte » d’identification pour chaque nouvelle session d’utilisateur. Si les mêmes points de données sont utilisés pour plusieurs tentatives de connexion consécutives, l’empreinte des appareils identifie cela comme un credential stuffing ou une attaque par force brute.
En utilisant l’empreinte des appareils en s’appuyant sur plusieurs points de données uniques (comme une adresse IP, des données flash, des en-têtes de demandes HTTP et le VPN), les entreprises peuvent répondre aux attaques potentielles avec des mesures extrêmes, en interdisant par exemple des adresses IP.
Toutefois, d’autres tentatives d’attaque peuvent être identifiées grâce à l’empreinte, en combinant deux ou trois des points de données les plus courants (comme le fuseau horaire, la langue et le navigateur), et en y répondant avec des mesures plus modérées comme l’interdiction temporaire d’une adresse IP.
Heureusement, les cybercriminels ont généralement accès à un ensemble d’adresses IP assez restreint. Une liste de refus d’adresses IP contient des adresses ou un type d’adresse que vous souhaiteriez refuser. Vous pouvez aussi constituer une liste d’autorisations (également appelée liste blanche) d’adresses IP à autoriser. Le principe d’accepter ou de refuser des adresses IP spécifiques aide à empêcher des adresses IP malveillantes d’accéder à votre réseau.
En surveillant les adresses IP qui tentent de se connecter à plus d’un compte, votre organisation peut les limiter ou les bloquer. Ces adresses IP peuvent ensuite être comparées aux adresses IP de listes de références externes pour les examiner avant d’autoriser l’accès.
Si cette technique peut être utile contre certaines attaques par credential stuffing, elle n’est pas pratique contre les vraies attaques avec un bot dynamique en raison des adresses IP changeantes qui sont utilisées.
Les navigateurs headless (PhantomJS ou Chrome/Firefox headless, par exemple) sont souvent utilisés par des bots malveillants. Heureusement, il est facile de les identifier avec leurs appels JavaScript. Bloquer tous les navigateurs headless est une option pour aider à prévenir les attaques par credential stuffing.
Toutefois, bloquer tous les navigateurs headless empêchera aussi les bons bots de travailler en votre faveur. Les bons bots incluent les crawlers sur les moteurs de recherche de Google ou de Bing. Les bots peuvent aussi être utilisés pour suivre le statut de votre site en cas de panne, gérer des chats automatiques (chatbots) ou crawler votre site de ecommerce pour conseiller de bonnes offres aux utilisateurs.
La clé pour identifier les bons bots est de connaître la source. Les bons bots sont typiquement utilisés par des entreprises réputées (par ex. Google). Dans la plupart des cas, les bots utiles se feront reconnaître et respecteront les règles et les politiques que vous avez mises en place sur votre site.
Le trafic provenant de centres de données commerciales (comme Amazon Web Services) est presque toujours un trafic de bots. Ce trafic devrait être traité avec plus de scepticisme que le trafic provenant d’utilisateurs individuels. Heureusement, ce trafic est facile à identifier et des taux limités peuvent être utilisés pour bloquer ou interdire les adresses IP qui tombent dans cette catégorie.
La réutilisation d’identifiants sur plusieurs services rend les utilisateurs plus vulnérables au credential stuffing. La réutilisation d’identifiants est plus probable lorsque les gents utilisent leur adresse email comme identifiant pour un compte.
Si votre service interdit cette pratique, vous pouvez considérablement réduire les risques que les utilisateurs réutilisent la même combinaison d’identifiants sur un autre site.
Les entreprises ont besoin que leurs clients leur fassent confiance et prévenir les attaques comme le credential stuffing est une manière d’éviter de briser cette confiance. Si le credential stuffing est une menace importante, il est d’autant plus opportun d’avoir recours à une solution générale de détection des fraudes pour :
Faire la différence entre les interactions d’utilisateurs légitimes et frauduleux
Analyser en continu des centaines de points de données dans les interactions physiques des utilisateurs et des appareils pour reconnaître les schémas des utilisateurs
Identifier les appareils susceptibles d’avoir été trafiqués ou falsifiés pour envoyer des signaux d’alerte
Détecter les méthodes de camouflage d’adresse IP comme les VPN inconnus ou les proxy
Online Fraud Detection de Ping Identity a été conçu pour faire tout cela et bien plus encore, sans affecter l’expérience utilisateur avec des frictions inutiles. Le client peut rester satisfait pendant que vous cherchez à déjouer les fraudeurs en temps réel. Pour en savoir plus, téléchargez notre Livre blanc sur la détection des fraudes.
Lancez-vous dès Aujourd'hui
Contactez-Nous
Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.
Démonstration Gratuite