Logo ChrisTec 212px
Accueil » Credential stuffing : se protège de cette nouvelle méthode de cyber-attaque

Search
Generic filters

Credential stuffing : se protège de cette nouvelle méthode de cyber-attaque

Écrit par Chris

14 avril 2021

Chercher
Generic filters
Correspondances exactes seulement
Recherche dans le titre
Rechercher dans le contenu
Rechercher dans l'extrait
À consulter en cas de problème d'affichage ou de mauvais fonctionnement du site.

Si vous rencontrez un problème sur le site ( problème d’affichage, boutons des réseaux sociaux qui ne s’affiches pas, la zone des commentaires ne s’affiche pas ou d’autres problèmes) c’est peut-être à cause d’une extension de votre navigateur. Certaines extensions peuvent provoquer ce genre de problème, en particulier les bloqueurs de pub.

Si vous rencontrez les problèmes cités ci-dessus ou d’autres problèmes, veuillez mettre le site en liste blanche dans les bloqueurs de pub que vous utilisez et vérifié que vous n’utilisez pas d’autres applications susceptibles de bloquer certaines fonctionnalités du site.

Le Credential stuffing

Après l’attaque brute force, voici la nouvelle cyber-attaque à la mode. Grâce au credential stuffing, un hackeur qui connaît l’un de vos logins ou vos mots de passe peut se connecter partout ! Le credential stuffing est une cyberattaque dans laquelle les identifiants obtenus suite à une violation de données sur un service sont utilisés pour tenter d’établir des connexions à un autre service sans rapport avec le premier. À partir de 2019, le credential stuffing a augmenté grâce à des listes massives de cotes falsifiées qui sont échangées et vendues sur le marché noir. La prolifération de ces listes, combinée aux progrès des outils de credential stuffing qui utilisent des bots pour contourner les protections de connexion traditionnelles a fait du credential stuffing un vecteur d’attaque populaire.

 Credential Stuffing vs Brute Force Attacks

Le credential stuffing, ou en français le bourrage d’identifiant est un type de cyberattaque de plus en plus généralisé ces dernières années. Vous connaissez déjà peut-être l’attaque brute force. Un programme essaie de se connecter à vos comptes en testant toutes les combinaisons possibles et imaginables d’identifiants et mots de passe. Mais pourquoi perdre du temps à deviner ce qui est déjà disponible sur le Dark Web ?

image Test de la réalite virtuelle et de la façon dont elle change notre manière de jouer 7

Le credential stuffing est similaire à une attaque par force brute, mais il existe plusieurs différences importantes:

  • Les attaques par force brute tentent de deviner les informations d’identification sans contexte, en utilisant des chaînes aléatoires, des modèles de mots de passe couramment utilisés ou des dictionnaires d’expressions courantes
  • Les attaques par force brute réussissent si les utilisateurs choisissent des mots de passe simples et devinables
  • Les attaques par force brute manquent de contexte et de données sur les violations précédentes, et leur taux de réussite de connexion est donc beaucoup plus faible
Dans une application Web moderne avec des mesures de sécurité de base en place, les attaques par force brute sont susceptibles d’échouer, tandis que les attaques par credential stuffing peuvent réussir. Le credential stuffing utilise des combinaisons identifiants/mot de passe connues pour fonctionner sur un site internet et les teste sur toutes les autres plateformes.

Concrètement, si un attaquant possède vos codes Facebook, il va essayer d’accéder à tous vos réseaux sociaux, à votre adresse email ou à n’importe quel service en ligne auquel vous êtes abonné.

S’il ne connaît que votre adresse mail ou login (le plus simple à trouver, ces bases de données sont à vendre pour une bouchée de pain y compris légalement), il lancera une attaque dictionnaire avec par exemple les 1000 mots de passe les plus utilisés dans votre pays. Simple et extrêmement rapide, même pour des débutants.

 Une cyberattaque efficace

Dans une application Web moderne avec des mesures de sécurité de base en place, les attaques par force brute sont susceptibles d’échouer, tandis que les attaques par credential stuffing peuvent réussir. La raison en est que même si vous appliquez des mots de passe forts, les utilisateurs peuvent partager ce mot de passe entre les services, conduisant à un compromis.

On estime qu’environ 0,1% des attaques par credential stuffing fonctionne. Ça peut paraître assez peu, mais ces hackers possèdent des millions voire des milliards d’identifiants grâce, notamment, à la collection #1. Et lorsque la tentative réussit, les attaquants peuvent récupérer des données sensibles (et rentables !) comme un numéro de carte de crédit, par exemple.

De plus, bloquer ce type d’attaque s’avère difficile. Les dispositifs de sécurité bloquent évidemment les adresses IP des utilisateurs qui essaient sans succès de se connecter un trop grand nombre de fois.

Cependant, les logiciels utilisés contournent cette sécurité en faisant croire que les tentatives de connexion proviennent d’adresses IP différentes. En fait, souvent, la seule indication qu’une attaque est en cours c’est l’augmentation des tentatives de connexion. Mais difficile d’y mettre un terme sans punir aussi les utilisateurs légitimes… 

Pas besoin de cracker des identifiants : la faiblesse des mots de passe suffit pour que des débutants utilisent et piratent des comptes grâce à des logiciels utilisant des attaques massives et automatisées à partir d’informations incomplètes 

 Protégez-vous du credential stuffing

G

1) Vos mots de passe

Rassurez-vous, l’attaque n’est pas parfaite et il existe des moyens de s’en prémunir ! Le credential stuffing exploite une faille de l’utilisateur, beaucoup de gens utilisent les mêmes identifiants de connexion pour des sites différents. Surtout, prenez le temps de définir un mot de passe fort, avec un mélange de caractères, chiffres et d’au moins 8 caractères.

Il ne doit pas faire partie des 1 000 ou même des 20 000 mots de passe les plus connus (oubliez les mots, les dates et le nom de votre chat !). Et possédez-en plusieurs pour cloisonner les risques.

Utiliser un gestionnaire de mots de passe vous facilitera la vie. Il crée des mots de passe forts et uniques pour chaque compte, les chiffre et les stocke dans un coffre-fort de mots de passe sécurisé. Lorsque vous êtes prêt à vous connecter à un compte, vous n’avez besoin que du mot de passe principal, le gestionnaire de mots de passe s’occupe du reste pour vous connecter.

C

Changez de mot de passe lorsque le vôtre a été violé

Étant donné que de nombreux sites utilisent une adresse e-mail comme nom d’utilisateur, haveibeenpwnd.com est une bonne ressource à visiter régulièrement pour voir quand et où vos informations d’identification ont été compromises.

Si vous trouvez votre ou vos alias de messagerie sur une liste (et vous le ferez sûrement), modifiez votre mot de passe sur le compte piraté et sur les autres utilisateurs qui utilisent les mêmes informations d’identification.

G

2) Passez à l’authentification multifactorielle

Une autre solution en tant que particulier, mettre en place l’authentification multifactorielle, surtout pour les services sensibles comme votre compte en banque ou votre adresse mail. Que ce soit par SMS, une appli dédiée ou une clé USB d’authentification matérielle.

Exiger des utilisateurs qu’ils s’authentifient avec quelque chose qu’ils possèdent, en plus de quelque chose qu’ils connaissent, est la meilleure défense contre le credential stuffing. Les robots attaquants ne seront pas en mesure de fournir une méthode d’authentification physique, telle qu’un téléphone mobile ou un jeton d’accès.

G

3) Utilisez un CAPTCHA

Les services en ligne ou intranet d’entreprises, eux, essaient de mettre en place des pratiques « anti-bot ». Les CAPTCHA, même s’ils ne sont pas infaillibles, ils aident souvent à distinguer l’homme du robot pour protéger leurs utilisateurs. Les CAPTCHA obligent les utilisateurs à effectuer une action pour prouver qu’ils sont humains, et peuvent réduire l’efficacité du credential stuffing.

Cependant, les pirates peuvent facilement contourner les CAPTCHA en utilisant des navigateurs sans tête. Comme MFA, les CAPTCHA peuvent être combinés avec d’autres méthodes et appliqués uniquement dans des scénarios spécifiques.

C

Bloquer les navigateurs sans tête

Les navigateurs sans tête tels que PhantomJS peuvent être facilement identifiés par les appels JavaScript qu’ils utilisent. Bloquez l’accès aux navigateurs sans tête parce qu’ils ne sont pas des utilisateurs légitimes et indiquent presque certainement un comportement suspect.

G

4) Supprimez les comptes inutilisés et inutiles.

La recherche d’anciens comptes que vous avez oubliés peut demander un peu de travail, mais cela en vaut la peine pour réduire le risque que des attaquants utilisent vos anciennes informations d’identification éventuellement identiques sur vos comptes actuels.

 Brèches célèbres 

Début 2019, Dunkin Donuts a annoncé avoir été victime d’une attaque de prise de contrôle de compte touchant 1200 de ses 10 millions de clients. Les cybercriminels ont utilisé les informations d’identification des violations de données précédentes pour accéder aux comptes de récompenses DD Perks, qui contenaient les noms des membres, les adresses e-mail, un numéro de compte DD Perks à 16 chiffres et un code QR DD Perks. L’objectif des pirates dans cette attaque était de vendre l’accès aux comptes compromis et les points de récompense stockés à l’intérieur.

En 2016, Uber a été victime d’une attaque au credential stuffing et a essayé de le cacher… Des pirates ont hacké les comptes utilisateurs d’employés d’Uber grâce au credential stuffing. Et à partir de là, ils ont eu accès et ont récupéré les données personnelles de dizaines de millions de chauffeurs et d’utilisateurs. Ils ont demandé à Uber une rançon de 100 000 dollars (environ 82 000 euros) pour supprimer les données.

Et Uber a payé, mais difficile de savoir si les attaquants ont tenu parole. Cependant, la marque a « oublié » de prévenir les utilisateurs touchés par l’attaque. Deux ans plus tard, l’incident a été rendu public.

Uber est alors condamné par l’Information Commissioner’s Office au Royaume-Uni, l’équivalent de la CNIL (Commission nationale de l’informatique et des libertés) en France, à payer 385 000 £ (environ 433 000 euros). En cause leur silence, mais aussi une mauvaise gestion de la sécurité informatique. 

Looks de Series et Films

Look de Tony Stark dans Avengers Infinity War (Veste et Lunettes)

Arborer le look de Tony Stark, le génie, milliardaire, play-boy, philanthrope de Marvel. Avec une veste de sport à capuche, et une paire de lunette de soleil. Interprété par Robert Downey Jr dans le film Avengers: Infinity War.

Look de “Black Widow” Natasha Romanoff dans Avengers Infinity War (Combinaison et Veste)

Arborer le look de (Black Widow) Natasha Romanoff en combinaison, veste de qualité exceptionnelle et bote en cuir, interprété par Scarlett Johansson dans le filme Avengers Infinity War. Le costume comprend une combinaison, un gilet, une ceinture, un étui, des coudières, des poignets, des gants, des épaulières et une carapace.

Look du Todd dans la serie Scrubs ( bandana et blouse chirurgicale )

Arborer le look de du Todd en blouse chirurgicale, et bandana Surgical Caps Flames, interprété par Robert Maschio dans la série Scrubs.

Look de Olivia Dunham dans la série Fringe (Veste en cuir, Jeans, Ceinture)

Arborer le look de Olivia Dunham en jeans Hudson Petite Signature Boot Cut, ceinture en cuir noir et veste en cuir noir, interprété par Anna Torv dans la série Fringe.

Look de “Black Widow” Natasha Romanoff Captain America Civil War ( jeans, Veste et bottes )

Arborer le look de (Black Widow) Natasha Romanoff en jeans J Brand, veste en Polyester et bote en cuir de couleur marron, interprété par Scarlett Johansson dans le filme Captain America Civil War.

Look combinaison Dharma dans Lost

Arborer le look d’un ouvrier de l’entreprise Dharma Initiative avec cette combinaison *sur mesure* dans la série Lost.

Look de Captain America dans Avengers ( Bouclier )

Arborer le look de super-héros de Captain America avec son bouclier interprété par Chris Evans dans le film Avengers.

Look de Matt Murdock dans daredevil ( lunettes avec châssis argenté et lentille rouge )

Arborer le look de Matt Murdock avec les lunettes a lentille rouge et châssis argenté, interprété par Charlie Cox dans la série Daredevil.

Recherche Google ChrisTec

Abonnez-vous à ce blog par e-mail pour être notifié.

Abonnez-vous avec ce panneau pour être notifié par e-mail. En vous abonnant ici vous ne recevrez pas de newsletter.
Pour recevoir les newsletters vous devait également vous abonner avec le panneau newsletter.
Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

Rejoignez les 30 720 autres abonnés

Annonces

Communauté

  • gab76
  • jeniferwan861
  • Anet
  • film streaming
  • Bernhart
  • julien
  • perigwen
  • terrylehner62
  • merrimcdonnell
  • elma3888523352
  • eddy56
  • Julie
  • maritadaecher7
  • fabien malgrand
  • penny67949307
  • gghenri4
  • temekathibodeau
  • Martine Vanhoorne
  • phildup55
  • Kmmsms
  • Raphaël
  • Sébastien Dechaume
  • Claude NOE
  • Eddy L.
  • Bonbon
  • Pene
  • Vanessa
  • Nico
  • marianhutt1908
  • anyagellibrand
  • haoleuu
  • Pascal31
  • angelesblackloc
  • zacke715876591
  • Noumad0097
  • carminecormier
  • Paul
  • angélique joyeux lolotybaby
  • ha014
  • Dany DECK
  • maraboutvoyantmedium
  • laprasles
  • belka
  • zygmunt phil
  • janeendoolittle
  • forrestspruson
  • Malick
  • dillonheidenrei
  • Oberlé Sébastien
  • Michelle

Catégories

Archives

Choisissez le meilleur hébergement pour vos sites Web et vos e-mails

Retrouver tous mes articles sur Infomaniak en cliquant sur l’image ci-dessus. Les hébergements d’infomaniak permettent de créer un site facilement avec WordPress et plus de 100 thèmes professionnels faciles à adapter. Votre site est facile à gérer, évolutif et s’affiche rapidement sur tous les supports.

Le meilleur VPN «complet» Garantie de remboursement de 30 jours

NordVPN est un réseau virtuel privé, proposant un ensemble d’excellentes fonctionnalités intégrées à un client astucieux qui sécurise vos activités en ligne. Serveurs rapides (5200+), torrent/P2P autorisé, fonctionne avec Netflix, confidentialité, VPN faciles à utiliser, double chiffrage des données, aucune fuite IP/DNS.

Retrouvez tous les articles de ChrisTec sur New Republic et plus encore

Si vous possédez un compte sur l'application News Republic disponible sur Android et iOS, n'hésitez pas à suivre le profil de ChrisTec. Vous y retrouverez les articles disponibles sur le site et plus encore. J'espère vous y retrouver nombreux. À bientôt sur News Republic. Ici pour Android et ici pour iOS.

Accéder à tous les bons plans Amazon disponibles sur ChrisTec 

Cliquez sur le bouton ci-dessous pour accéder à la page dédiée aux bons plans Amazon répertoriés sur ChrisTec. Vous y trouverez tous les codes promos disponibles, les coupons de réductions, et toutes les ventes flash. Ne perdez plus votre temps à trouver les meilleurs deals, tout se trouve ici, alors dépêchez-vous !!

Conclusion

Merci pour la lecture de cet article

Voilà qui conclut cet article. Si vous avez des questions ou des recommandations, n’hésitez pas à utiliser l’espace commentaire juste en dessous. Pour ne rater aucun article, abonnez-vous au site en utilisant l’espace d’abonnement ci-dessous. Quant à moi, je vous dis à bientôt pour de nouveaux articlesur ChrisTec.

Pour 49 EUR par an, les membres du Programme Amazon Prime bénéficient de :

  • La livraison en 1 jour ouvré gratuite sur des millions d’articles
  • L’accès au stockage sécurisé et illimité de leurs photos
  • La possibilité d’emprunter gratuitement des livres grâce à la vaste Bibliothèque de prêt Kindle

Les 8 derniers articles publiés sur le site

Bons Plans Amazon (80) 23 / 07 / 2021

Cet article est consacré à la présentation de produits geek et high-tech en promotion sur Amazon du (23 / 07 / 2021). Le but est de mettre en avant les bons plans du moment à fin que vous puissiez faire de bonnes affaires sur Amazon. Ces promotions ont une durée de temps limité donc dépêchez-vous de profiter de ces bonnes affaires.

Voici le gagnant du concours twitter pour gagner un chargeur solaire pliable Choetech de 14W

Voici le gagnant du concours pour gagner un chargeur solaire pliable Choetech de 14W. Que vous soyez un amateur de plein air, un accro de la randonnée ou du camping ou que vous aimiez simplement de longues aventures et des voyages à l’extérieur, vous adorerez vraiment la commodité d’avoir un chargeur solaire pliable.

Bons Plans Amazon (79) 10 / 07 / 2021

Cet article est consacré à la présentation de produits geek et high-tech en promotion sur Amazon du (10 / 07 / 2021). Le but est de mettre en avant les bons plans du moment à fin que vous puissiez faire de bonnes affaires sur Amazon. Ces promotions ont une durée de temps limité donc dépêchez-vous de profiter de ces bonnes affaires.

Concours twitter pour gagner un chargeur solaire pliable Choetech de 14W

Que vous soyez un amateur de plein air, un accro de la randonnée ou du camping ou que vous aimiez simplement de longues aventures et des voyages à l’extérieur, vous adorerez vraiment la commodité d’avoir un chargeur solaire pliable.

Test de la tablette graphique avec écran Huion kamvas 13 : rapport performance/prix excellent

Cette tablette graphique à écran 13 pouces est sans doute une des moins chères que vous puissiez trouver sur le marché avec un aussi bon rapport qualité-prix. Elle est destinée aux artistes débutants et expérimentés qui recherchent une tablette graphique à écran que l’on peut facilement transporter avec soi.

Bons Plans Amazon (78) 11 / 06 / 2021

Cet article est consacré à la présentation de produits geek et high-tech en promotion sur Amazon du (11 / 06 / 2021). Le but est de mettre en avant les bons plans du moment à fin que vous puissiez faire de bonnes affaires sur Amazon. Ces promotions ont une durée de temps limité donc dépêchez-vous de profiter de ces bonnes affaires.

Test du clavier mécanique gamer G-LAB Keyz CARBON V3

Bienvenue à vous sur cet article de test qui devrait tout particulièrement intéresser les gamers. Le test d’aujourd’hui sera consacré au clavier mécanique The G-LAB Keyz Carbon v3. Un clavier Gaming rétroéclairé à petit prix (entre 49,99 et 39,99 euros). Compatible avec Windows, PlayStation et Xbox. The G-Lab est une marque française connue dans le milieu du gaming pour ses accessoires à bas prix.

Bons Plans Amazon (77) 05 / 06 / 2021

Cet article est consacré à la présentation de produits geek et high-tech en promotion sur Amazon du (05 / 06 / 2021). Le but est de mettre en avant les bons plans du moment à fin que vous puissiez faire de bonnes affaires sur Amazon. Ces promotions ont une durée de temps limité donc dépêchez-vous de profiter de ces bonnes affaires.

Les 3 derniers articles liés

Comment améliorer le débit et la portée de sa connexion wifi

Comment améliorer le débit et la portée de sa connexion wifi

Bienvenue sur cet article dans lequel je vais vous donner quelques astuces pour améliorer la qualité de votre wifi. Il peut être parfois frustrant d’avoir une bonne connexion Internet, mais d’être pénalisé par la mauvaise qualité de son wifi. Il existe cependant quelques astuces simples qui vous permettront d’augmenter la portée de votre wifi ou bien le débit Internet pour toutes sortes d’activités.

lire plus
Trouver du wifi gratuitement partout dans le monde

Trouver du wifi gratuitement partout dans le monde

Bienvenue dans cet article où je vais passer en revue les moyens possibles de trouver du wifi gratuitement dans le monde. Si vous voyagez beaucoup ou que vous êtes souvent amené à vous déplacer, il est fort possible que vous cherchiez un moyen d’accéder à Internet par wifi. Il existe plusieurs moyens de trouver du wifi pour connecter son ordinateur portable sans même débourser un centime.

lire plus

Abonnez-vous à ce blog par e-mail pour être notifié.

Abonnez-vous avec ce panneau pour être notifié par e-mail.
Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir par e-mail une notification a chaque publication d'un nouvel article.

0 Commentaires

0 commentaires

Laisser un commentaire

Profil

Chris

Chris

Geek passionné de : Multimédia,Informatique,Technologies, Jeux,Cinéma,Série,Science,Art...

Liens Personnels

Afficher le Profil Complet →

Recherche

Chercher
Generic filters
Correspondances exactes seulement
Recherche dans le titre
Rechercher dans le contenu
Rechercher dans l'extrait

Infomaniak

Choisissez Infomaniak, le meilleur hébergement pour vos sites Web et vos e-mails.

Articles récents

Contact

Pour ceux qui désirent me contacter, veuillez le faire depuis ce module. Vous pouvez également utiliser les réseaux sociaux comme Twitter. : @ChrisGeekWorld ou @ChrisDevWorld Adresse e-mail : contact@christec.net

En cas de problème vous pouvez utiliser cette adresse mail : christecpro@gmail.com

Abonnez-vous à ce blog par e-mail

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par e-mail.

Rejoignez les 30 720 autres abonnés

Communauté

  • LeoNoob
  • Bonbon
  • Xav
  • napoleonb751
  • phildup55
  • Claude NOE
  • xayan123
  • Chris
  • YARGA
  • Raphaël

Pin It on Pinterest