Credential stuffing : se protège de cette nouvelle méthode de cyber-attaque

Le credential stuffing, ou en français le bourrage d’identifiant est un type de cyberattaque de plus en plus généralisé ces dernières années. Vous connaissez déjà peut-être l’attaque brute force. Un programme essaie de se connecter à vos comptes en testant toutes les combinaisons possibles et imaginables d’identifiants et mots de passe. Mais pourquoi perdre du temps à deviner ce qui est déjà disponible sur le Dark Web ?

Le credential stuffing est similaire à une attaque par force brute, mais il existe plusieurs différences importantes:

• Les attaques par force brute tentent de deviner les informations d’identification sans contexte, en utilisant des chaînes aléatoires, des modèles de mots de passe couramment utilisés ou des dictionnaires d’expressions courantes
• Les attaques par force brute réussissent si les utilisateurs choisissent des mots de passe simples et devinables
• Les attaques par force brute manquent de contexte et de données sur les violations précédentes, et leur taux de réussite de connexion est donc beaucoup plus faible

Concrètement, si un attaquant possède vos codes Facebook, il va essayer d’accéder à tous vos réseaux sociaux, à votre adresse email ou à n’importe quel service en ligne auquel vous êtes abonné.

S’il ne connaît que votre adresse mail ou login (le plus simple à trouver, ces bases de données sont à vendre pour une bouchée de pain y compris légalement), il lancera une attaque dictionnaire avec par exemple les 1000 mots de passe les plus utilisés dans votre pays. Simple et extrêmement rapide, même pour des débutants.

Dans une application Web moderne avec des mesures de sécurité de base en place, les attaques par force brute sont susceptibles d’échouer, tandis que les attaques par credential stuffing peuvent réussir. La raison en est que même si vous appliquez des mots de passe forts, les utilisateurs peuvent partager ce mot de passe entre les services, conduisant à un compromis.

On estime qu’environ 0,1% des attaques par credential stuffing fonctionne. Ça peut paraître assez peu, mais ces hackers possèdent des millions voire des milliards d’identifiants grâce, notamment, à la collection #1. Et lorsque la tentative réussit, les attaquants peuvent récupérer des données sensibles (et rentables !) comme un numéro de carte de crédit, par exemple.

De plus, bloquer ce type d’attaque s’avère difficile. Les dispositifs de sécurité bloquent évidemment les adresses IP des utilisateurs qui essaient sans succès de se connecter un trop grand nombre de fois.

Cependant, les logiciels utilisés contournent cette sécurité en faisant croire que les tentatives de connexion proviennent d’adresses IP différentes. En fait, souvent, la seule indication qu’une attaque est en cours c’est l’augmentation des tentatives de connexion. Mais difficile d’y mettre un terme sans punir aussi les utilisateurs légitimes… 

Pas besoin de cracker des identifiants : la faiblesse des mots de passe suffit pour que des débutants utilisent et piratent des comptes grâce à des logiciels utilisant des attaques massives et automatisées à partir d’informations incomplètes 

Rassurez-vous, l’attaque n’est pas parfaite et il existe des moyens de s’en prémunir ! Le credential stuffing exploite une faille de l’utilisateur, beaucoup de gens utilisent les mêmes identifiants de connexion pour des sites différents. Surtout, prenez le temps de définir un mot de passe fort, avec un mélange de caractères, chiffres et d’au moins 8 caractères.

Il ne doit pas faire partie des 1 000 ou même des 20 000 mots de passe les plus connus (oubliez les mots, les dates et le nom de votre chat !). Et possédez-en plusieurs pour cloisonner les risques.

Utiliser un gestionnaire de mots de passe vous facilitera la vie. Il crée des mots de passe forts et uniques pour chaque compte, les chiffre et les stocke dans un coffre-fort de mots de passe sécurisé. Lorsque vous êtes prêt à vous connecter à un compte, vous n’avez besoin que du mot de passe principal, le gestionnaire de mots de passe s’occupe du reste pour vous connecter.

Étant donné que de nombreux sites utilisent une adresse e-mail comme nom d’utilisateur, haveibeenpwnd.com est une bonne ressource à visiter régulièrement pour voir quand et où vos informations d’identification ont été compromises.

Si vous trouvez votre ou vos alias de messagerie sur une liste (et vous le ferez sûrement), modifiez votre mot de passe sur le compte piraté et sur les autres utilisateurs qui utilisent les mêmes informations d’identification.

Une autre solution en tant que particulier, mettre en place l’authentification multifactorielle, surtout pour les services sensibles comme votre compte en banque ou votre adresse mail. Que ce soit par SMS, une appli dédiée ou une clé USB d’authentification matérielle.

Exiger des utilisateurs qu’ils s’authentifient avec quelque chose qu’ils possèdent, en plus de quelque chose qu’ils connaissent, est la meilleure défense contre le credential stuffing. Les robots attaquants ne seront pas en mesure de fournir une méthode d’authentification physique, telle qu’un téléphone mobile ou un jeton d’accès.

Les services en ligne ou intranet d’entreprises, eux, essaient de mettre en place des pratiques « anti-bot ». Les CAPTCHA, même s’ils ne sont pas infaillibles, ils aident souvent à distinguer l’homme du robot pour protéger leurs utilisateurs. Les CAPTCHA obligent les utilisateurs à effectuer une action pour prouver qu’ils sont humains, et peuvent réduire l’efficacité du credential stuffing.

Cependant, les pirates peuvent facilement contourner les CAPTCHA en utilisant des navigateurs sans tête. Comme MFA, les CAPTCHA peuvent être combinés avec d’autres méthodes et appliqués uniquement dans des scénarios spécifiques.

Les navigateurs sans tête tels que PhantomJS peuvent être facilement identifiés par les appels JavaScript qu’ils utilisent. Bloquez l’accès aux navigateurs sans tête parce qu’ils ne sont pas des utilisateurs légitimes et indiquent presque certainement un comportement suspect.

La recherche d’anciens comptes que vous avez oubliés peut demander un peu de travail, mais cela en vaut la peine pour réduire le risque que des attaquants utilisent vos anciennes informations d’identification éventuellement identiques sur vos comptes actuels.

Début 2019, Dunkin Donuts a annoncé avoir été victime d’une attaque de prise de contrôle de compte touchant 1200 de ses 10 millions de clients. Les cybercriminels ont utilisé les informations d’identification des violations de données précédentes pour accéder aux comptes de récompenses DD Perks, qui contenaient les noms des membres, les adresses e-mail, un numéro de compte DD Perks à 16 chiffres et un code QR DD Perks. L’objectif des pirates dans cette attaque était de vendre l’accès aux comptes compromis et les points de récompense stockés à l’intérieur.

En 2016, Uber a été victime d’une attaque au credential stuffing et a essayé de le cacher… Des pirates ont hacké les comptes utilisateurs d’employés d’Uber grâce au credential stuffing. Et à partir de là, ils ont eu accès et ont récupéré les données personnelles de dizaines de millions de chauffeurs et d’utilisateurs. Ils ont demandé à Uber une rançon de 100 000 dollars (environ 82 000 euros) pour supprimer les données.

Et Uber a payé, mais difficile de savoir si les attaquants ont tenu parole. Cependant, la marque a « oublié » de prévenir les utilisateurs touchés par l’attaque. Deux ans plus tard, l’incident a été rendu public.

Uber est alors condamné par l’Information Commissioner’s Office au Royaume-Uni, l’équivalent de la CNIL (Commission nationale de l’informatique et des libertés) en France, à payer 385 000 £ (environ 433 000 euros). En cause leur silence, mais aussi une mauvaise gestion de la sécurité informatique.