
2019 sera-t-elle l'année du credential stuffing ? (en anglais)
Les journalistes aiment les violations de données. Comme expliqué le mois dernier, ils opposent les hackers aux professionnels de la sécurité dans un affrontement entre le bien et le mal, ce qui en fait une excellente histoire. Mais le paysage des menaces ne se limite pas aux violations. De plus en plus, nous constatons une toute nouvelle catégorie d’attaques consécutives utilisant les identifiants compromis qui inondent actuellement le Dark Web par millions.
Le credential stuffing est en tête du peloton, et les responsables informatiques devraient s’en inquiéter. On estime qu’il coûte aux seules entreprises américaines plus de 5 milliards de dollars par an et qu’il a déjà affecté certaines grandes marques cette année, notamment Nest, Dunkin’ Donuts, Dailymotion et OkCupid.
Piratages brutaux de comptes
Le credential stuffing est une forme d’attaque par force brute qui utilise des outils automatisés pour tester simultanément de grands volumes de données de connexion volées sur plusieurs sites jusqu’à ce que l’un d’entre eux fonctionne. Cela repose sur le fait que de nombreuses organisations permettent encore à leurs clients et employés d’utiliser des connexions par mot de passe uniquement, et que ces utilisateurs ont tellement de mots de passe à gérer qu’ils en viennent à partager leurs identifiants sur plusieurs sites et comptes. Une entreprise estime qu’un employé moyen doit aujourd’hui gérer plus de 190 mots de passe.
L’objectif final est de pirater des comptes, qu’ils soient utilisés par des clients externes ou des employés de l’entreprise. Dans un scénario B2C, les comptes piratés peuvent constituer une source lucrative d’informations à caractère personnel (PII) à vendre sur le Dark Web. Selon l’entreprise, ils pourraient également être vendus sur le marché noir de la cybercriminalité pour offrir aux acheteurs des trajets gratuits en covoiturage, du contenu en streaming et bien plus encore. Certains comptes incluent des Air Miles, des cartes-cadeaux d’hôtel et d’autres crédits de comptes fidélité qui pourraient également être vendus. Et il va sans dire que l’accès à un compte bancaire ou à un compte de services financiers pourrait être encore plus lucratif.
Selon un rapport, le commerce de détail est le secteur le plus touché au monde, avec 10 milliards de tentatives de credential stuffing enregistrées entre mai et décembre 2018. Cependant, d’autres secteurs sont également touchés, notamment les médias en streaming (8,1 milliards de tentatives), les médias et le divertissement (3,5 milliards), la production industrielle (1,3 milliard) et les services financiers (1,1 milliard). Il pourrait être tentant pour les organisations concernées de prétendre que ce n’est pas de leur faute et que la raison de ces attaques est l’incapacité des clients à sécuriser correctement leurs comptes avec des mots de passe uniques. Mais essayez donc d’expliquer cela à un client. En fin de compte, c’est la réputation de votre entreprise qui est en jeu.
Employés à risque
Cependant, ce n’est pas la fin de l’histoire. Les attaques de credential stuffing pourraient également représenter un risque significatif pour la sécurité des entreprises. Pourquoi ? Parce que les employés enregistrent parfois des comptes externes tels que LinkedIn avec leur adresse email et leurs identifiants professionnels. Cela ne pose aucun problème jusqu’à ce que ces identifiants soient piratés par le site tiers en question. Cela offre aux hackers une occasion en or de prendre le contrôle des comptes professionnels.
À partir de là, ils peuvent envoyer des emails de spear-phishing très convaincants aux titulaires de comptes privilégiés, potentiellement dans le but final de pirater les bases de données de l’entreprise. Ils peuvent même lancer des attaques de type Business Email Compromise (BEC) à la suite de telles activités. Étant donné que ces attaques proviennent d’une source légitime et de confiance, il peut être difficile de les détecter et d’y mettre un terme.
Des milliards de problèmes
Ce problème n’est pas près de disparaître. Une entreprise a détecté près de 28 milliards de tentatives de credential stuffing entre mai et décembre 2018. En fait, les outils automatisés deviennent de plus en plus sophistiqués. Ils permettent aux hackers non seulement de pirater des comptes existants, mais aussi d’utiliser des informations personnelles compromises pour en ouvrir de nouveaux au nom de la victime.
Entre-temps, les données compromises continuent d’inonder les forums clandestins fréquentés par les hackers. Les « listes combinées », qui regroupent les identifiants divulgués lors de précédentes violations, constituent une source prête à l’emploi pour ces campagnes. Une collection de grande envergure récemment révélée contenait prétendument plus de huit milliards d’identifiants de connexion. Le taux de réussite des campagnes de credential stuffing est souvent inférieur à 1 %, mais étant donné la quantité de mots de passe à essayer, il n’est pas nécessaire qu’il soit beaucoup plus élevé.
Que pouvez-vous faire ?
Bien sûr, le credential stuffing n’est pas le seul moyen de compromettre les comptes des utilisateurs. Les organisations doivent également se méfier de l’hameçonnage, du bourrage de mots de passe et d’autres techniques. Cependant, cela reste une menace sérieuse pour les résultats financiers et la réputation de l’entreprise qui nécessite une attention urgente. Le problème est de savoir quoi faire. Pour les clients externes, les organisations sont réticentes à imposer l’authentification multifacteur (MFA) et cela est compréhensible, car elle rend le processus de connexion plus complexe. Cependant, l’authentification multifacteur contextuelle peut être une option, car elle ne demandera un second facteur que si elle estime qu’il existe un risque élevé.
En ce qui concerne les comptes professionnels, les options sont plus nombreuses. Des politiques devraient être strictement élaborées pour interdire l’utilisation des emails et des identifiants professionnels pour s’inscrire sur des sites tiers. Les entreprises devraient supprimer toutes les connexions par mot de passe uniquement et renforcer l’authentification avec la MFA. Une meilleure sécurité de connexion pourrait également être combinée avec des outils alimentés par l’IA conçus pour repérer les tentatives de connexion suspectes et les activités de messagerie interne pouvant indiquer un compte compromis.
D’une manière plus générale, les organisations doivent s’efforcer de mieux détecter les violations. La durée d’exposition dans la région EMEA est de 177 jours, ce qui est inacceptable, un fournisseur affirmant qu’il faut jusqu’à 15 mois aux organisations pour détecter un vol massif d’identifiants. Si nous nous améliorions tous dans ce domaine, les connexions pourraient être réinitialisées avant même que les identifiants volés n’apparaissent sur les forums du Dark Web.
Un nouveau rapport révèle des détails sur les attaques par spear-phishing, y compris les dernières tactiques utilisées par les cybercriminels et les bonnes pratiques pour défendre votre entreprise.
Obtenez GRATUITEMENT votre exemplaire !

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter