Nous utilisons tous des douzaines, voire des centaines de services en ligne dif­fé­rents : four­nis­seurs de mes­sa­ge­rie, logiciels uti­li­sa­teur, services de streaming, abon­ne­ment à un journal, la liste est longue. Chacun de ces services exige que nous sai­sis­sions des données de connexion, au minimum un nom d’uti­li­sa­teur et un mot de passe. Ces données de connexion sont toutefois fré­quem­ment volées d’une façon ou d’une autre et sont proposées à la vente par les cy­ber­cri­mi­nels dans de vastes col­lec­tions de mots de passe. Les hackers utilisent par exemple ces données de connexion pour le cre­den­tial stuffing afin de tirer profit des données volées.

Pourquoi le sujet du cre­den­tial stuffing est-il si important ?

Les hackers par­vien­nent ré­gu­liè­re­ment à pénétrer dans les bases de données des grands services en ligne et à y voler les données de connexion de nombreux uti­li­sa­teurs. Les données sub­ti­li­sées sont proposées à la vente sur le Darknet sous forme de listes. À l’heure actuelle, la liste la plus grande et la plus connue est appelée « Col­lec­tion #1-5 » et contient plus de 2,2 milliards de com­bi­nai­sons de nom d’uti­li­sa­teurs et de mots de passe, ce qui re­pré­sente un volume de données de près de 900 gi­gaoc­tets !

Que peuvent faire les hackers de cette liste ? À première vue, pas grand-chose. Lorsqu’un four­nis­seur de service détecte le vol des données, il prévient ses clients et leur demande de modifier leur mot de passe.

Conseil

Sur le site Internet de l’Institut Hasso Plattner, vous pouvez vérifier si votre adresse e-mail a déjà été publiée sur le Darknet.

La mo­di­fi­ca­tion du mot de passe empêche les hackers d’accéder au compte uti­li­sa­teur cor­res­pon­dant. Mais voilà, de nombreux uti­li­sa­teurs sont paresseux. Ils utilisent la même com­bi­nai­son d’adresse email et de mot de passe pour dif­fé­rents services en ligne. C’est ici que le cre­den­tial stuffing entre en jeu. Les hackers l’utilisent pour tirer malgré tout profit des données de connexion volées.

Conseil

Vous en ap­pren­drez davantage sur la sécurité des mots de passe dans notre article dédié. Dans notre Guide Digital, découvrez également comment garder une vue d’ensemble de vos données de connexion avec un ges­tion­naire de mots de passe.

Brève ex­pli­ca­tion du cre­den­tial stuffing

Dans le cre­den­tial stuffing, les hackers essaient de pénétrer dans un système avec des données de connexion volées (angl. « cre­den­tials »). Dans ce cadre, ils essayent un grand nombre de « cre­den­tials » dif­fé­rents volés auprès d’autres services en ligne. Le but de l’attaque est d’accéder à d’autres données pré­cieuses dans le compte hacké, comme le numéro de carte de crédit ou l’adresse de l’uti­li­sa­teur, des documents en­re­gis­trés, des coor­don­nées et toute autre donnée dont ils pour­raient tirer profit.

Selon les sta­tis­tiques, environ une tentative de connexion sur mille est un succès. En d’autres termes, un hacker doit essayer en moyenne 1 000 données de connexion dif­fé­rentes pour pénétrer dans un système.

Fonc­tion­ne­ment du cre­den­tial stuffing

Pour réussir une attaque de « cre­den­tial stuffing », un hacker a besoin de quatre éléments :

  • une liste de données de connexion
  • une liste de services en ligne appréciés qu’il souhaite attaquer (par exemple : Dropbox, Adobe Cloud, Canva, etc.)
  • une technique pour utiliser un grand nombre d’adresses IP dif­fé­rentes en tant qu’ex­pé­di­teur (rotation IP)
  • un « bot » (programme in­for­ma­tique) qui procède de façon en­tiè­re­ment au­to­ma­tique aux ten­ta­tives de connexion sur les dif­fé­rents services en ligne.

Grâce à ces bots, le hacker essaie les données de connexion les unes après les autres sur un service en ligne en changeant à chaque fois l’adresse IP de l’ex­pé­di­teur pour que le serveur cible ne bloque pas la tentative de connexion. En effet, tout serveur bien configuré bloquera l’adresse IP lorsque le nombre de ten­ta­tives de connexion échouées dépasse un certain seuil.

Si la connexion réussit, le bot accède aux pré­cieuses in­for­ma­tions men­tion­nées plus haut. Les données de connexion validées sont par ailleurs en­re­gis­trées pour de futures uti­li­sa­tions, par exemple pour des ten­ta­tives de ha­me­çon­nage et autres.

Par com­pa­rai­son aux méthodes de piratage suivantes, le cre­den­tial stuffing est souvent bien plus efficace :

  • les attaques par force brute né­ces­si­tent un nombre de ten­ta­tives bien plus élevé puisque les com­bi­nai­sons iden­ti­fiant/mot de passe sont essayées de façon en­tiè­re­ment aléatoire et ne sont pas des mots de passe existants comme dans le cre­den­tial stuffing.
  • L’in­gé­nie­rie sociale restreint gé­né­ra­le­ment l’attaque à une seule pla­te­forme (par exemple : Amazon) alors que le cre­den­tial stuffing peut attaquer des centaines de services en ligne dif­fé­rents en même temps.

Se protéger contre le cre­den­tial stuffing

La mesure de pro­tec­tion la plus simple et la plus sûre consiste à utiliser dif­fé­rents mots de passe pour les dif­fé­rentes con­nexions. Bien que cela soit peu pratique, il est moins laborieux de mettre en place une méthode pour se souvenir des dif­fé­rents mots de passe que de devoir modifier tous les mots de passe in­di­vi­duel­le­ment pour l’ensemble des con­nexions en cas de faille de sécurité.

Conseil

Découvrez ici comment vous protéger avec un mot de passe sécurisé.

Parmi les méthodes éprouvées pour gérer les dif­fé­rents mots de passe, on trouve :

  • un schéma secret appliqué à tous les mots de passe in­dif­fé­rem­ment. Un schéma reconnu consiste à mélanger le nom de la pla­te­forme avec une com­bi­nai­son de chiffres fixe. Le mot de passe pour Dropbox serait par exemple dro33pbox22 et celui pour Amazon ama33zon22.
  • l’uti­li­sa­tion d’un ges­tion­naire de mots de passe ; auquel cas vous aurez le choix entre une ap­pli­ca­tion et une extension de na­vi­ga­teur.
  • l’uti­li­sa­tion de plusieurs adresses e-mail ou noms d’uti­li­sa­teurs pour les dif­fé­rentes pla­te­formes, avec un nouveau mot de passe à chaque fois.

Mesures de pro­tec­tion côté serveur

Pour les ex­ploi­tants de site Internet, de boutiques en ligne et de services en ligne, il existe toute une palette de pos­si­bi­li­tés pour protéger les uti­li­sa­teurs du cre­den­tial stuffing :

  • un au­then­ti­fi­ca­teur basé sur le TOTP, c’est-à-dire l’uti­li­sa­tion d’un mot de passe tem­po­raire unique (time-based one-time password) pour la connexion
  • une au­then­ti­fi­ca­tion mul­ti­fac­teurs, par exemple l’envoi d’un code par SMS sur le smart­phone
  • le blocage des na­vi­ga­teurs headless utilisés par les bots
  • le blocage du trafic de données depuis les centres de données par exemple Amazon Web Services ou IBM Watson. En effet, les bots sont souvent exploités à partir des centres de données de ce type
  • l’uti­li­sa­tion d’un logiciel de pro­tec­tion spé­ci­fique. Pour WordPress, on pourra par exemple utiliser le plugin Wordfence Login Security
  • le Device Fin­ger­prin­ting. Ici, dif­fé­rentes ca­rac­té­ris­tiques de l’or­di­na­teur de l’uti­li­sa­teur, par ex. son adresse MAC, la taille du disque dur, etc., sont lues et con­ver­ties en valeur de hachage de façon à pouvoir démasquer im­mé­dia­te­ment toute tentative de connexion depuis un or­di­na­teur tiers.
Cer­ti­fi­cats SSL
Faites le choix de la sécurité
  • Sécurisez vos trans­ferts de données
  • Renforcez la confiance de vos clients
  • Améliorez votre po­si­tion­ne­ment sur Google
Aller au menu principal