Le FBI constate une hausse des attaques de credential stuffing

Version imprimable, PDF et e-mail

Le service du FBI (Federal Bureau of Investigations) en charge de la cybersécurité a publié un avis consultatif à destination du secteur privé, avertissant les entreprises proposant des services financiers d'une hausse des attaques de credential stuffing lancées à leur encontre.

Sur le dark Web, on recense plusieurs milliards d'identifiants à disposition des cybercriminels, facilitant alors la génération d'attaques de credential stuffing. Le rapport du FBI est formel : en règle générale, ces attaques visent les interfaces de programmation (connues sous leur acronyme « API ») sur lesquelles s'appuient les fournisseurs de services financiers pour concevoir des applications. Comme par le passé, ces entreprises se retrouvent la cible des cybercriminels pour une bonne et simple raison : elles sont une véritable source d'argent.

D'autre part, le FBI précise que les cybercriminels comptent sur le fait que les utilisateurs ont tendance à utiliser le même mot de passe pour leurs comptes et applications.

Ces attaques, lancées par des botnets contrôlés principalement par des réseaux de cybercriminels, reposent le plus souvent sur la méthode de force brute. Le rapport du FBI permet de découvrir un exemple de ces attaques : en juillet dernier aux États-Unis, une institution financière de taille moyenne expliquait que sa plateforme bancaire en ligne avait constaté un « flot permanent » de tentatives de connexion à l'aide d'une multitude de paires d'identifiants. Le rapport indique également qu'entre janvier et août 2020, des acteurs non identifiés ont eu recours à un agrégateur pour relier les comptes piratés aux comptes client appartenant à l'institution. Résultat ? Plus de 3,5 millions de dollars de retraits et transferts électroniques frauduleux réalisés par les pirates.

Par chance, le taux de succès des attaques de credential stuffing est généralement faible. Malgré tout, alors que les botnets n'ont de cesse d'évoluer, le coût induit par le lancement d'attaques à grande échelle diminue, de telle sorte que les équipes de cybersécurité doivent s'attendre à subir davantage d'attaques de ce type.

Les spécialistes en cybersécurité du FBI prodiguent quelques conseils sur la façon d'atténuer ces attaques, parmi lesquels :

  • Prévenir les clients et employés de l'existence de ces attaques, surveiller activement les compte à la recherche d'accès non autorisés et de modifications, ainsi qu'identifier toute activité anormale.
  • Conseiller aux clients et employés d'avoir recours à des mots de passe uniques, c'est-à-dire, qui ne sont pas utilisés sur d'autres comptes, et les modifier régulièrement.
  • Inviter les clients à modifier leurs identifiants (nom d'utilisateur et mot de passe) en cas de détection d'une activité frauduleuse sur leur compte ou de la compromission de ce dernier.
  • Valider les identifiants client en les comparant aux bases de données répertoriant les noms d'utilisateur et mots de passe compromis.
  • Modifier les réponses renvoyées sur la page de connexion aux services bancaires en ligne de sorte à supprimer tout indicateur révélant la validité des identifiants en émettant un message d'erreur et un temps de réponse identiques lorsque le nom d'utilisateur ou le mot de passe est incorrect.
  • Mettre en place des politiques d'entreprise précisant la nécessité de contacter le propriétaire d'un compte afin de vérifier la présence ou l'absence de modifications apportées aux informations du compte.
  • Mettre en œuvre un processus d'authentification multifacteur (MFA) lors de la création et de la mise à jour des informations de compte, en particulier pour les comptes bancaires, d'assurance et de trading, ainsi que pour permettre un accès initial aux services d'agrégation financière.
  • Utiliser des outils de détection des anomalies capables d'identifier toute hausse inhabituelle du trafic et tentative d'authentification ratée.

Les attaques de credential stuffing sont une conséquence naturelle des millions d'attaques par phishing lancées à l'encontre d'entreprises et de particuliers. Les identifiants volés permettent aux pirates de lancer des attaques d'une ampleur inédite. Les équipes de cybersécurité les plus expérimentées développent des stratégies pour encourager les utilisateurs finaux à modifier régulièrement leurs mots de passe. Ainsi, le fait qu'un utilisateur oublie son mot de passe et se trouve forcé de le changer est parfois considéré comme la meilleure chose qui puisse arriver.

Malheureusement, et bien que ces stratégies aient incité les utilisateurs à générer des mots de passe forts, nombreux d'entre eux se retrouvent encore aujourd'hui sur le dark Web. Une chose semble claire : la plupart des entreprises seraient davantage en sécurité en obligeant simplement les utilisateurs finaux à modifier leur mot de passe plusieurs fois par an, et ce, que des problèmes surviennent ou non. Après tout, les forces militaires modifient leurs mots de passe de manière régulière afin d'assurer la sécurité des bases.

Bien sûr, il fut un temps où les utilisateurs finaux auraient contesté cette idée. Aujourd'hui, la mentalité est tout autre. À mesure que les utilisateurs prennent conscience de la présence de leurs mots de passe sur le dark Web, la résistance devrait, espérons-le, diminuer, en particulier si le fait de mettre à jour ces mots de passe s'inscrit dans le prolongement naturel d'un processus de transformation numérique des entreprises.

Il est possible qu'à terme, les mots de passe deviennent obsolètes. En attendant, qu'on le veuille ou non, les mots de passe demeurent la première et dernière ligne de défense.

Remonter en haut de page
Tweeter
Partager
Partager