Barracuda full logo

Atlantis AIO : la grande plateforme de credential stuffing « tout-en-un »

Thèmes:
31 mars 2025
|
Christine Barry

Un nouvel outil « tout-en-un » fait les gros titres, et ce n’est pas un outil de piratage ordinaire. Un outil « tout-en-un » (All-In-One, AIO) est une plateforme, un service ou un logiciel malveillant qui intègre plusieurs fonctionnalités dans un seul système. Les AIO sont conçus pour simplifier et rationaliser les activités malveillantes basées sur l’utilisation d’identifiants compromis, telles que le credentail stuffing et le piratage de compte. La plateforme de credential stuffing en tant que service (CSaaS) Atlantis AIO a été découverte l’année dernière par des chercheurs de Sift Science, sur le service de messagerie Telegram : 

 

Captures d’écran sur mobile des annonces Sift fournies par les architectes en confiance et en sécurité de Sift

Captures d’écran sur mobile des annonces Sift fournies par les architectes en confiance et en sécurité de Sift

Atlantis AIO se distingue par ses services étendus et ses modules préconfigurés. Il est considéré comme une avancée significative dans le domaine des cyberattaques basées sur l’utilisation d’identifiants compromis en raison de son évolutivité et de sa conception intuitive. Il s’agit également d’une menace plus avancée de par sa capacité à contourner certains types de mesures de sécurité.

Qu’est-ce qu’un AIO ?

Nombre des outils utilisés par les cybercriminels ont plusieurs fonctions, mais les outils AIO désignent généralement des systèmes d’attaque basés sur l’utilisation d’identifiants compromis. Cela pourrait changer avec l’évolution du contexte, mais c'est à cette fin qu’ils sont utilisés aujourd’hui. Pour bien faire la distinction, comparons les AIO à d’autres catégories :

Outil

Fonction principale

Comparaison avec Atlantis AIO

Classification

Outil tout-en-un (AIO)
(par exemple, Atlantis AIO)

Automatise le credential stuffing sur plus de 140 plateformes (messagerie, banque, streaming, etc.) à l’aide d’identifiants volés.

Similaire à Atlantis AIO : se concentre sur le credential stuffing et le piratage de compte via l’automatisation. La conception modulaire permet une adaptation rapide aux nouvelles plateformes et mesures de sécurité.

Outil tout-en-un (AIO) / Outil basé sur les identifiants

Angler Exploit Kit

Distribue des malwares en exploitant des vulnérabilités logicielles (par exemple, les failles de navigateur/plug-in).

Cible les vulnérabilités logicielles pour installer des malwares, contrairement aux attaques d’Atlantis AIO basées sur l’utilisation d’identifiants compromis. Utilise des techniques d’obscurcissement, des attaques zero-day et des infections sans fichier pour échapper à la détection.

Kit d’exploit

THC-Hydra

Déchiffrement de mots de passe par force brute pour les protocoles réseau (SSH, FTP, HTTP, etc.).

Se concentre sur le déchiffrement des mots de passe faibles pour les services réseau, tandis qu’Atlantis AIO teste les identifiants volés sur différentes plateformes web. Hydra vise des protocoles précis, tandis qu'Atlantis est indépendant de la plateforme.

Outil de déchiffrement de mots de passe réseau/récupération de mots de passe

Social Engineering Toolkit (SET)

Crée des attaques de social engineering (hameçonnage, spoofing SMS, faux sites web).

Exploite la psychologie humaine plutôt que les vulnérabilités techniques. Contrairement aux tests automatisés des identifiants d’Atlantis AIO, SET vise à inciter les utilisateurs à révéler leurs identifiants.

Cadre de social engineering

Cain and Abel

Récupération de mots de passe (par reniflage, force brute) et analyse réseau pour Windows.

Se concentre sur l’extraction des mots de passe du système/réseau local (par exemple, Wi-Fi, identifiants mis en cache). Atlantis AIO fonctionne à grande échelle sur des plateformes externes, tandis que Cain and Abel cible les environnements internes.

Outil de récupération de mots de passe et d’analyse réseau


Les outils d’attaque se distinguent par leurs fonctions principales, ce qui permet aux professionnels de la sécurité de suivre les menaces, de les analyser et de s’en protéger plus facilement.

La première génération d’attaques basées sur l’utilisation d’identifiants compromis remonte aux années 2000. Les outils utilisés étaient conçus pour les attaques par force brute et le « credential testing », une classe différente du credential stuffing. Les attaques lancées avec ces outils se limitaient souvent à une seule plateforme, et les acteurs malveillants ciblaient généralement les serveurs de messagerie et les serveurs FTP. Au cours de la décennie suivante, les progrès de l’automatisation ont amélioré l’efficacité de ces outils, et l’essor du développement de logiciels modulaires a accéléré le déploiement d’attaques multivecteurs/multifonctions. Au lieu de craquer une seule plateforme par force brute, les pirates pouvaient désormais déployer une attaque principale, avec plusieurs modules visant des cibles, des exploits et des vecteurs différents. Plus important encore, ils pouvaient modifier et améliorer les modules à leur guise.

Ces améliorations se sont poursuivies : c’est pourquoi nous sommes maintenant confrontés à cette plateforme CSaaS massive, Atlantis AIO.

Pourquoi le credential stuffing ?

Il est impossible d’appréhender réellement l’impact de cette nouvelle plateforme sans comprendre l’impact des cybercrimes qu’elle permet de perpétrer. La sécurité des identifiants est véritablement l’un des domaines les plus importants de la cybersécurité. C’est pour cette raison que le secteur de la sécurité se concentre tant sur des domaines tels que l’accès zero trust, le principe du moindre privilège (PoLP), l’authentification multifacteur (MFA) et la protection contre l’hameçonnage.

Le moyen le plus courant pour les acteurs malveillants d’accéder à vos systèmes et comptes en ligne est simplement de se connecter avec des identifiants volés. Selon le rapport Verizon 2024 sur les violations de données (DBIR), près de 77 % des violations d’applications web sont rendues possibles par le vol d’identifiants. 

 

Principales actions de piratage impliquées dans les violations de base visant les applications web

Principales actions de piratage impliquées dans les violations de base visant les applications web, Verizon DBIR (Figure 41)

Voyons comment ces identifiants sont volés. L’hameçonnage est déjà une menace de taille, qui ne cesse de croître. Les plateformes d’hameçonnage en tant que service et les botnets d’hameçonnage accélèrent ces activités, et il est important de se rappeler qu’une attaque par e-mail de phishing ne vise pas seulement à voler des identifiants. La plupart sont conçus pour installer des malwares comme des ransomwares ou des infostealers qui étendront l’empreinte du crime. De nombreux identifiants sont volés par le biais de techniques de credential dumping pendant l’attaque. Des centaines de millions d’ensembles d’identifiants ont ainsi été compromis lors de nombreuses violations de données d’entreprise pour lesquelles nous n’avons pas de détails.

Le credential stuffing est l’attaque basée sur l’utilisation d’identifiants la plus efficace, car elle s’appuie sur des informations de connexion déjà volées lors d’attaques précédentes. C’est pourquoi vous ne devez jamais réutiliser vos mots de passe, même si vous pensez que c’est inoffensif. 

 

Illustration d’une attaque par credential stuffing, via OWASP

Illustration d’une attaque par credential stuffing, via OWASP

Le cycle du vol d’identifiants

Le vol d’identifiants est une activité lucrative et cyclique. En voici un aperçu simple :

Compromission initiale : les identifiants sont volés par le biais d’e-mails de phishing, de malwares de type infostealers (voleurs d’informations), de violations de données ou d’autres méthodes.

Récolte et agrégation : les identifiants volés sont regroupés pour être distribués ou vendus sur des forums du dark Web. Les cybercriminels peuvent trier ces identifiants par domaine ou par entreprise et les convertir dans un format à forte valeur, facilement utilisable.  Des acteurs malveillants tels que le groupe de ransomware Medusa volent des identifiants pour perpétrer leurs propres attaques. Ils peuvent ensuite décider de vendre ou de distribuer librement ces identifiants.

Vente et distribution : on voit souvent les courtiers en accès initial (IAB) acheter des identifiants volés afin de mener des attaques reposant sur l’usage d’identifiants compromis. Les IAB utilisent ces identifiants pour accéder aux comptes de cibles à forte valeur, puis ils vendent ces informations à d’autres acteurs malveillants. Les pirates peuvent ainsi acheter l’accès à un système, plutôt que de se contenter d’acheter des identifiants qui pourraient hypothétiquement fonctionner. Les IAB font partie de la chaîne d’approvisionnement de la cybercriminalité. Les acteurs de la menace peuvent également utiliser les identifiants achetés pour d’autres types d’attaques, en fonction des informations incluses dans la liste.

Attaques par credential stuffing : d’autres acteurs malveillants achètent ces listes et utilisent des outils automatisés tels qu’Atlantis AIO pour lancer des attaques par credential stuffing. En termes simples, les pirates tentent de se connecter à différents services à l’aide de ces identifiants volés afin de vérifier si les personnes ont utilisé le même mot de passe pour plusieurs comptes.

Compromission de comptes à répétition : certains ensembles d’identifiants fonctionneront, ce qui nous ramène aux étapes précédentes, qui consistaient à récolter et à vendre d’autres identifiants.

Le cycle du vol d’identifiants s’auto-entretient parce que les gens réutilisent les mots de passe sur plusieurs services et que les identifiants restent généralement disponibles longtemps après avoir été compromis. 

 

Publication Breachforums proposant la vente de données volées dans la liste « Antipublick Collection »

Publication Breachforums proposant la vente de données volées dans la liste « Antipublick Collection » via DarkWebInformer

Des milliards d’identifiants volés sont disponibles sur le dark Web et facilement accessibles via des listes telles que RockYou2024 ou Collection #1. En outre, une étude de 2022 a estimé que les attaques par credential stuffing avaient un taux de réussite de 0,2 à 2 %. Ce taux de réussite fluctue, mais il est basé sur un ensemble de données qui ne cesse de s’élargir. Du point de vue d’un acteur malveillant, les ensembles d’identifiants ET l’accès à un réseau sont deux sources de revenus différentes. Ce type de crime peut donc être la base d’une opération lucrative.

Atlantis AIO

Ce sont les dommages causés par les attaques basées sur les identifiants qui font d’Atlantis AIO un problème sérieux.  Cette plateforme automatise les attaques par credential stuffing sur plusieurs plateformes, notamment les services de messagerie, les sites de commerce électronique, les banques, les VPN et les services de livraison de repas, et fait désormais partie de la chaîne d’approvisionnement des groupes de ransomware et des menaces persistantes avancées (APT). Voici pourquoi cette plateforme est si dangereuse :

L’outil est convivial et permet même aux pirates novices d’exécuter des attaques sophistiquées sans avoir besoin de connaissances techniques approfondies. Cette accessibilité brise les barrières qui empêchent habituellement les nouveaux arrivants de commettre des attaques basées sur l’utilisation d’identifiants. Elle permet également aux criminels expérimentés de lancer plus facilement des attaques.

Atlantis AIO dispose d'un cadre modulaire, et ses propriétaires proposent des modules préconfigurés pour près de 140 plateformes. Cette modularité permet aux pirates de basculer facilement entre divers types d’attaque et différentes plateformes. Elle permet également aux développeurs d’ajouter plus facilement de nouvelles cibles et d’adapter les attaques existantes aux nouvelles mesures de sécurité.

L’outil est conçu dans un souci d’efficacité et d’évolutivité « en tant que service ». Il peut tester des millions de noms d’utilisateur et de mots de passe volés en succession rapide, ce permettant aux pirates de lancer plus facilement des attaques de grande envergure avec un minimum d’effort.

Atlantis AIO inclut des modules d’attaque spécialisés pour les tests des comptes de messagerie, les attaques par force brute et les processus de récupération. Ces modules peuvent contourner les mesures de sécurité telles que les CAPTCHAS et automatiser les processus de réinitialisation de mot de passe. Le piratage de comptes s’en voit rationalisé et optimisé.

Tests des comptes de messagerie : ces modules facilitent les attaques par force brute sur les plateformes de messagerie les plus courantes. Ceux-ci facilitent le piratage de comptes, ils incluent une fonctionnalité de prise de contrôle de la boîte de réception capable de perpétrer des crimes supplémentaires tels que le vol de données et l’envoi des campagnes d’hameçonnage ou de spam.

Attaques par force brute : ces modules automatisent le « craquage » de mots de passe.   

Modules de récupération : ces outils permettent de contourner les mesures de sécurité telles que les CAPTCHAS, et ils fonctionnent avec des services spécifiques comme eBay et Yahoo. Atlantis AIO inclut également une fonction de « récupération des données exposées ». Associée à l’outil qui contourne le CAPTCHA, elle permet aux acteurs malveillants de modifier les mots de passe et de bloquer l’accès de l’utilisateur légitime.

Illustration d’une attaque par force brute faisant des tentatives de connexion successives avec différentes variantes de mots de passe, via Hashed Out

Illustration d’une attaque par force brute faisant des tentatives de connexion successives avec différentes variantes de mots de passe, via Hashed Out

La fonction de récupération des données exposées est l’une des caractéristiques principales d’Atlantis AIO. Elle collecte toutes les données disponibles sur la victime et les utilise pour contourner les questions de sécurité. Ces données peuvent provenir de sources accessibles au public, comme les réseaux sociaux, ou il peut s’agir de données volées lors de fuites antérieures. La fonction de récupération des données exposées utilise ces informations pour deviner les réponses aux questions de sécurité. Si cela fonctionne, Atlantis AIO peut réinitialiser le mot de passe et prendre le contrôle total du compte avant que la victime ne s’en aperçoive.

Il est difficile de calculer l’ampleur des dégâts causés par Atlantis AIO. Ce n’est pas le premier outil d’attaque automatisée impliquant l’utilisation d’identifiants compromis, et ce n’est pas le premier crime proposé en tant que service. Atlantis AIO pourrait avoir une longue vie, ou il pourrait être mis hors service avant de faire plus de dégâts. Quelle que soit sa destinée, Atlantis AIO pourrait constituer un tournant décisif pour les attaques basées sur les identifiants. Le credential stuffing a atteint des niveaux sans précédent en 2024, lorsque les chercheurs ont observé Atlantis AIO pour la première fois, sur Telegram. Même si ce n’était pas un outil dominant en 2024, nous ne pouvons pas ignorer la contribution de cette plateforme à l’augmentation de ces attaques.

Ce que vous pouvez faire

  • Arrêtez de réutiliser vos mots de passe. C’est le point à retenir.
  • Utilisez un gestionnaire de mots de passe qui vous permet de stocker des mots de passe uniques et complexes de manière conviviale.
  • Utilisez l’authentification multifacteur dans la mesure du possible.
  • Envisagez de passer à une méthode d’authentification sans mot de passe.
  • Évitez les réseaux Wi-Fi publics pour les connexions ou les transactions sensibles.
  • Restez vigilant face aux tentatives d’hameçonnage. Apprenez à reconnaître les e-mails, les liens et les sites web suspects.
  • Surveillez les fuites d’identifiants potentielles. La plupart des gestionnaires de mots de passe incluent cette fonctionnalité dans le service.

Ce que votre entreprise peut faire

En plus de tout ce qui précède, les entreprises peuvent utiliser des couches de sécurité supplémentaires contre le credential stuffing :

  • Utilisez la limitation et la régulation du débit pour limiter le nombre de tentatives de connexion autorisées par un compte ou une adresse IP.
  • Utilisez des CAPTCHAS et d’autres tests de défi-réponse. Cette mesure est plus efficace lorsqu’elle est combinée à d’autres moyens de défense.
  • Surveillez les comportements de connexion grâce à l’intelligence artificielle (IA) et à des analyses. L’analyse comportementale peut établir un schéma correspondant aux habitudes de connexion des utilisateurs et détecter les activités inhabituelles, comme le credential stuffing, avant qu’elles n’aboutissent.
  • Déployez des firewalls d’applications web pour vous défendre contre ce type d’attaque.
  • Adoptez l’authentification sans mot de passe, avec les données biométriques ou les codes à usage unique, par exemple.
  • Proposez un programme de sensibilisation à la sécurité pour apprendre à vos employés à reconnaître les scams, l’hameçonnage et leur faire découvrir les bonnes pratiques à adopter en cas de problème.
  • Surveillez les fuites d’identifiants associés à votre domaine. Les services de renseignement sur les menaces surveilleront activement les forums et autres canaux du dark Web à la recherche d’informations propres à votre domaine. 

Vous pouvez compter sur Barracuda

La plateforme de sécurité réseau avancée de Barracuda peut vous aider à mettre en œuvre un système d’authentification sans mot de passe moderne qui permettra aux utilisateurs d’accéder à votre réseau et à vos ressources facilement et de manière transparente, tout en bloquant efficacement les intrus malveillants. Découvrez notre solution et commencez par un essai gratuit.

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.