Pour réussir une attaque de « credential stuffing », un hacker a besoin de quatre éléments :
- une liste de données de connexion
- une liste de services en ligne appréciés qu’il souhaite attaquer (par exemple : Dropbox, Adobe Cloud, Canva, etc.)
- une technique pour utiliser un grand nombre d’adresses IP différentes en tant qu’expéditeur (rotation IP)
- un « bot » (programme informatique) qui procède de façon entièrement automatique aux tentatives de connexion sur les différents services en ligne.
Grâce à ces bots, le hacker essaie les données de connexion les unes après les autres sur un service en ligne en changeant à chaque fois l’adresse IP de l’expéditeur pour que le serveur cible ne bloque pas la tentative de connexion. En effet, tout serveur bien configuré bloquera l’adresse IP lorsque le nombre de tentatives de connexion échouées dépasse un certain seuil.
Si la connexion réussit, le bot accède aux précieuses informations mentionnées plus haut. Les données de connexion validées sont par ailleurs enregistrées pour de futures utilisations, par exemple pour des tentatives de hameçonnage et autres.
Par comparaison aux méthodes de piratage suivantes, le credential stuffing est souvent bien plus efficace :
- les attaques par force brute nécessitent un nombre de tentatives bien plus élevé puisque les combinaisons identifiant/mot de passe sont essayées de façon entièrement aléatoire et ne sont pas des mots de passe existants comme dans le credential stuffing.
- L’ingénierie sociale restreint généralement l’attaque à une seule plateforme (par exemple : Amazon) alors que le credential stuffing peut attaquer des centaines de services en ligne différents en même temps.