Le credential stuffing : les failles de sécurité sont une véritable passoire à données

L'équipe éditoriale IONOS18/02/20217 mins

Sommaire

Nous utilisons tous des douzaines, voire des centaines de services en ligne différents : fournisseurs de messagerie, logiciels utilisateur, services de streaming, abonnement à un journal, la liste est longue. Chacun de ces services exige que nous saisissions des données de connexion, au minimum un nom d’utilisateur et un mot de passe. Ces données de connexion sont toutefois fréquemment volées d’une façon ou d’une autre et sont proposées à la vente par les cybercriminels dans de vastes collections de mots de passe. Les hackers utilisent par exemple ces données de connexion pour le credential stuffing afin de tirer profit des données volées.

Pourquoi le sujet du credential stuffing est-il si important ?

Les hackers parviennent régulièrement à pénétrer dans les bases de données des grands services en ligne et à y voler les données de connexion de nombreux utilisateurs. Les données subtilisées sont proposées à la vente sur le Darknet sous forme de listes. À l’heure actuelle, la liste la plus grande et la plus connue est appelée « Collection #1-5 » et contient plus de 2,2 milliards de combinaisons de nom d’utilisateurs et de mots de passe, ce qui représente un volume de données de près de 900 gigaoctets !

Que peuvent faire les hackers de cette liste ? À première vue, pas grand-chose. Lorsqu’un fournisseur de service détecte le vol des données, il prévient ses clients et leur demande de modifier leur mot de passe.

Conseil

Sur le site Internet de l’Institut Hasso Plattner, vous pouvez vérifier si votre adresse e-mail a déjà été publiée sur le Darknet.

La modification du mot de passe empêche les hackers d’accéder au compte utilisateur correspondant. Mais voilà, de nombreux utilisateurs sont paresseux. Ils utilisent la même combinaison d’adresse email et de mot de passe pour différents services en ligne. C’est ici que le credential stuffing entre en jeu. Les hackers l’utilisent pour tirer malgré tout profit des données de connexion volées.

Conseil

Vous en apprendrez davantage sur la sécurité des mots de passe dans notre article dédié. Dans notre Guide Digital, découvrez également comment garder une vue d’ensemble de vos données de connexion avec un gestionnaire de mots de passe.

Brève explication du credential stuffing

Dans le credential stuffing, les hackers essaient de pénétrer dans un système avec des données de connexion volées (angl. « credentials »). Dans ce cadre, ils essayent un grand nombre de « credentials » différents volés auprès d’autres services en ligne. Le but de l’attaque est d’accéder à d’autres données précieuses dans le compte hacké, comme le numéro de carte de crédit ou l’adresse de l’utilisateur, des documents enregistrés, des coordonnées et toute autre donnée dont ils pourraient tirer profit.

Selon les statistiques, environ une tentative de connexion sur mille est un succès. En d’autres termes, un hacker doit essayer en moyenne 1 000 données de connexion différentes pour pénétrer dans un système.

Fonctionnement du credential stuffing

Pour réussir une attaque de « credential stuffing », un hacker a besoin de quatre éléments :

une liste de données de connexion
une liste de services en ligne appréciés qu’il souhaite attaquer (par exemple : Dropbox, Adobe Cloud, Canva, etc.)
une technique pour utiliser un grand nombre d’adresses IP différentes en tant qu’expéditeur (rotation IP)
un « bot » (programme informatique) qui procède de façon entièrement automatique aux tentatives de connexion sur les différents services en ligne.

Grâce à ces bots, le hacker essaie les données de connexion les unes après les autres sur un service en ligne en changeant à chaque fois l’adresse IP de l’expéditeur pour que le serveur cible ne bloque pas la tentative de connexion. En effet, tout serveur bien configuré bloquera l’adresse IP lorsque le nombre de tentatives de connexion échouées dépasse un certain seuil.

Si la connexion réussit, le bot accède aux précieuses informations mentionnées plus haut. Les données de connexion validées sont par ailleurs enregistrées pour de futures utilisations, par exemple pour des tentatives de hameçonnage et autres.

Par comparaison aux méthodes de piratage suivantes, le credential stuffing est souvent bien plus efficace :

les attaques par force brute nécessitent un nombre de tentatives bien plus élevé puisque les combinaisons identifiant/mot de passe sont essayées de façon entièrement aléatoire et ne sont pas des mots de passe existants comme dans le credential stuffing.
L’ingénierie sociale restreint généralement l’attaque à une seule plateforme (par exemple : Amazon) alors que le credential stuffing peut attaquer des centaines de services en ligne différents en même temps.

Se protéger contre le credential stuffing

La mesure de protection la plus simple et la plus sûre consiste à utiliser différents mots de passe pour les différentes connexions. Bien que cela soit peu pratique, il est moins laborieux de mettre en place une méthode pour se souvenir des différents mots de passe que de devoir modifier tous les mots de passe individuellement pour l’ensemble des connexions en cas de faille de sécurité.

Conseil

Découvrez ici comment vous protéger avec un mot de passe sécurisé.

Parmi les méthodes éprouvées pour gérer les différents mots de passe, on trouve :

un schéma secret appliqué à tous les mots de passe indifféremment. Un schéma reconnu consiste à mélanger le nom de la plateforme avec une combinaison de chiffres fixe. Le mot de passe pour Dropbox serait par exemple dro33pbox22 et celui pour Amazon ama33zon22.
l’utilisation d’un gestionnaire de mots de passe ; auquel cas vous aurez le choix entre une application et une extension de navigateur.
l’utilisation de plusieurs adresses e-mail ou noms d’utilisateurs pour les différentes plateformes, avec un nouveau mot de passe à chaque fois.

Mesures de protection côté serveur

Pour les exploitants de site Internet, de boutiques en ligne et de services en ligne, il existe toute une palette de possibilités pour protéger les utilisateurs du credential stuffing :

un authentificateur basé sur le TOTP, c’est-à-dire l’utilisation d’un mot de passe temporaire unique (time-based one-time password) pour la connexion
une authentification multifacteurs, par exemple l’envoi d’un code par SMS sur le smartphone
le blocage des navigateurs headless utilisés par les bots
le blocage du trafic de données depuis les centres de données par exemple Amazon Web Services ou IBM Watson. En effet, les bots sont souvent exploités à partir des centres de données de ce type
l’utilisation d’un logiciel de protection spécifique. Pour WordPress, on pourra par exemple utiliser le plugin Wordfence Login Security
le Device Fingerprinting. Ici, différentes caractéristiques de l’ordinateur de l’utilisateur, par ex. son adresse MAC, la taille du disque dur, etc., sont lues et converties en valeur de hachage de façon à pouvoir démasquer immédiatement toute tentative de connexion depuis un ordinateur tiers.

Certificats SSL

Faites le choix de la sécurité

Sécurisez vos transferts de données
Renforcez la confiance de vos clients
Améliorez votre positionnement sur Google

Cet article vous a-t-il été utile ?

Articles Populaires

Nom de domaine mail : qu’est-ce que c’est et comment en créer un

Dans cet article dédié, nous vous présentons comment créer une adresse mail avec son…

Comment acheter un nom de domaine ?

Comment enregistrer un nom de domaine avec le domaine de premier et de deuxième niveau que…

Quels types de domaines existe-t-il ?

Quelle est la différence entre un domaine de premier et de deuxième niveau ? Qu’est-ce…

Le Prompt Engineering : explication

Qu’est-ce que le Prompt Engineering ? Comment peut-il améliorer les résultats de ChatGPT…

Aperçu de 7 types de sites Internet : quel site Web correspond à vos besoins ?

Le choix d’un bon type de site Internet est essentiel à la réussite de tout projet en…

Tout savoir sur le SIEM (Security Information & Event Management)

Les cybermenaces peuvent être identifiées et contrées avec fiabilité grâce à des alertes. Mais d’où proviennent ces données et comment en tirer les bonnes conclusions ? C’est là que le SIEM (Security Information & Event Management) entre en jeu : découvrez le fonctionnement du…

Lexique
Sécurité

IAM : qu’est-ce que l’Identity and Access Management ?

L’Identity and Access Management, ou gestion des identités et des accès, entre en jeu dès qu’il existe des comptes d’utilisateurs. L’IAM ne devrait-elle donc pas intervenir dans chaque application ? Quelle est l’importance de la gestion des identités et des accès au regard des…

Lexique
Sécurité

Gustavo FrazaoShutterstock

Arnaques en ligne : qu’est-ce-qui se cache derrière les fraudes ?

Internet est un terrain de jeu privilégié pour les escrocs, cela ne date pas d’hier. Les arnaques en ligne prennent place le plus souvent par email, via les portails de messagerie ou les réseaux sociaux, grâce auxquels les escrocs entrent en contact avec des personnes qui ne se…

Protection des Données
Sécurité

FIDO2 : le nouveau standard pour une connexion Web sécurisée

Les mots de passe ne sont pas le moyen idéal pour naviguer en toute sécurité sur Internet. Ils sont soit complexes mais difficiles à mémoriser ou bien simples mais faciles à pouvoir être piratés. FIDO2 adopte une approche différente et s’appuie sur une technologie moderne. Le…

Sécurité

Log4Shell : causes et conséquences de la vulnérabilité Java

Fin 2021, la découverte de la vulnérabilité Log4Shell a été un véritable choc. À distance, des pirates informatiques ont réussi à prendre le contrôle de certains systèmes. Elle a touché presque toutes les grandes entreprises et de nombreux autres services, parmi les plus…

Sécurité
JavaScript