Le credential stuffing : les failles de sécurité sont une véritable passoire à données

Nous utilisons tous des douzaines, voire des centaines de services en ligne différents : fournisseurs de messagerie, logiciels utilisateur, services de streaming, abonnement à un journal, la liste est longue. Chacun de ces services exige que nous saisissions des données de connexion, au minimum un nom d’utilisateur et un mot de passe. Ces données de connexion sont toutefois fréquemment volées d’une façon ou d’une autre et sont proposées à la vente par les cybercriminels dans de vastes collections de mots de passe. Les hackers utilisent par exemple ces données de connexion pour le credential stuffing afin de tirer profit des données volées.

Les hackers parviennent régulièrement à pénétrer dans les bases de données des grands services en ligne et à y voler les données de connexion de nombreux utilisateurs. Les données subtilisées sont proposées à la vente sur le Darknet sous forme de listes. À l’heure actuelle, la liste la plus grande et la plus connue est appelée « Collection #1-5 » et contient plus de 2,2 milliards de combinaisons de nom d’utilisateurs et de mots de passe, ce qui représente un volume de données de près de 900 gigaoctets !

Que peuvent faire les hackers de cette liste ? À première vue, pas grand-chose. Lorsqu’un fournisseur de service détecte le vol des données, il prévient ses clients et leur demande de modifier leur mot de passe.

La modification du mot de passe empêche les hackers d’accéder au compte utilisateur correspondant. Mais voilà, de nombreux utilisateurs sont paresseux. Ils utilisent la même combinaison d’adresse email et de mot de passe pour différents services en ligne. C’est ici que le credential stuffing entre en jeu. Les hackers l’utilisent pour tirer malgré tout profit des données de connexion volées.

Dans le credential stuffing, les hackers essaient de pénétrer dans un système avec des données de connexion volées (angl. « credentials »). Dans ce cadre, ils essayent un grand nombre de « credentials » différents volés auprès d’autres services en ligne. Le but de l’attaque est d’accéder à d’autres données précieuses dans le compte hacké, comme le numéro de carte de crédit ou l’adresse de l’utilisateur, des documents enregistrés, des coordonnées et toute autre donnée dont ils pourraient tirer profit.

Selon les statistiques, environ une tentative de connexion sur mille est un succès. En d’autres termes, un hacker doit essayer en moyenne 1 000 données de connexion différentes pour pénétrer dans un système.

Pour réussir une attaque de « credential stuffing », un hacker a besoin de quatre éléments :

• une liste de données de connexion
• une liste de services en ligne appréciés qu’il souhaite attaquer (par exemple : Dropbox, Adobe Cloud, Canva, etc.)
• une technique pour utiliser un grand nombre d’adresses IP différentes en tant qu’expéditeur (rotation IP)
• un « bot » (programme informatique) qui procède de façon entièrement automatique aux tentatives de connexion sur les différents services en ligne.

Grâce à ces bots, le hacker essaie les données de connexion les unes après les autres sur un service en ligne en changeant à chaque fois l’adresse IP de l’expéditeur pour que le serveur cible ne bloque pas la tentative de connexion. En effet, tout serveur bien configuré bloquera l’adresse IP lorsque le nombre de tentatives de connexion échouées dépasse un certain seuil.

Si la connexion réussit, le bot accède aux précieuses informations mentionnées plus haut. Les données de connexion validées sont par ailleurs enregistrées pour de futures utilisations, par exemple pour des tentatives de hameçonnage et autres.

Par comparaison aux méthodes de piratage suivantes, le credential stuffing est souvent bien plus efficace :

• les attaques par force brute nécessitent un nombre de tentatives bien plus élevé puisque les combinaisons identifiant/mot de passe sont essayées de façon entièrement aléatoire et ne sont pas des mots de passe existants comme dans le credential stuffing.
• L’ingénierie sociale restreint généralement l’attaque à une seule plateforme (par exemple : Amazon) alors que le credential stuffing peut attaquer des centaines de services en ligne différents en même temps.

La mesure de protection la plus simple et la plus sûre consiste à utiliser différents mots de passe pour les différentes connexions. Bien que cela soit peu pratique, il est moins laborieux de mettre en place une méthode pour se souvenir des différents mots de passe que de devoir modifier tous les mots de passe individuellement pour l’ensemble des connexions en cas de faille de sécurité.

Parmi les méthodes éprouvées pour gérer les différents mots de passe, on trouve :

• un schéma secret appliqué à tous les mots de passe indifféremment. Un schéma reconnu consiste à mélanger le nom de la plateforme avec une combinaison de chiffres fixe. Le mot de passe pour Dropbox serait par exemple dro33pbox22 et celui pour Amazon ama33zon22.
• l’utilisation d’un gestionnaire de mots de passe ; auquel cas vous aurez le choix entre une application et une extension de navigateur.
• l’utilisation de plusieurs adresses e-mail ou noms d’utilisateurs pour les différentes plateformes, avec un nouveau mot de passe à chaque fois.

Pour les exploitants de site Internet, de boutiques en ligne et de services en ligne, il existe toute une palette de possibilités pour protéger les utilisateurs du credential stuffing :

• un authentificateur basé sur le TOTP, c’est-à-dire l’utilisation d’un mot de passe temporaire unique (time-based one-time password) pour la connexion
• une authentification multifacteurs, par exemple l’envoi d’un code par SMS sur le smartphone
• le blocage des navigateurs headless utilisés par les bots
• le blocage du trafic de données depuis les centres de données par exemple Amazon Web Services ou IBM Watson. En effet, les bots sont souvent exploités à partir des centres de données de ce type
• l’utilisation d’un logiciel de protection spécifique. Pour WordPress, on pourra par exemple utiliser le plugin Wordfence Login Security
• le Device Fingerprinting. Ici, différentes caractéristiques de l’ordinateur de l’utilisateur, par ex. son adresse MAC, la taille du disque dur, etc., sont lues et converties en valeur de hachage de façon à pouvoir démasquer immédiatement toute tentative de connexion depuis un ordinateur tiers.