credential stuffing : Définition, techniques & Défense 

Le " credential stuffing " est un type de cyberattaque très répandu. Il s'agit de l'injection automatisée de combinaisons de noms d'utilisateur et de mots de passe afin d'obtenir frauduleusement l'accès au compte utilisateur.

pirates veulent pénétrer dans vos serveurs. Vous voulez les empêcher d'entrer. Vous utilisez un processus de mot de passe sophistiqué, qui exige notamment des changements fréquents d'identifiants. L'informatique semble être un système infaillible, mais elle présente un défaut majeur. 

Si les gens réutilisent tbd (et c'est le cas de beaucoup d'entre nous), vous risquez de subir une attaque dévastatrice. 

Plus de 15 milliards d'identifiants volés sont aujourd'hui disponibles sur les marchés noirs. Souvent, les pirates informatiques n'ont même pas besoin de payer pour les armes qu'ils peuvent utiliser contre vous. Avec cette base de données, ils pourraient avoir les noms et adresses de l'un de vos employés. Avec un peu de piratage, ils pourraient repérer votre vulnérabilité et prendre le contrôle. 

Les attaques de type "credential stuffing" sont dévastatrices. Mais il est possible de les prévenir.

Comment fonctionne une attaque par bourrage de données d'identification ? 

Le credential stuffing implique le vol de noms d'utilisateur ou de noms de domaine. Un hacker introduit les données dans un bot et lance une attaque pour déterminer si la même combinaison ouvre d'autres serveurs. 

Chaque attaque est différente, mais la plupart d'entre elles suivent ce plan étape par étape :

1. découverte : Un hacker trouve un cache de combinaisons nom d'utilisateur/mot de passe exposé par une autre attaque.
2. Modélisation : Le site hacker effectue quelques tests pour vérifier si ces combinaisons fonctionnent sur d'autres sites web.
3. Travail à grande échelle : Le site hacker utilise des outils pour lancer une attaque contre un serveur. Toutes les pièces volées arrivent sous la forme d'un flot de tentatives de connexion. Si l'un d'entre eux fonctionne, le site hacker y a accès.
4. Le vol : Le site hacker recherche tout ce qui a de la valeur dans le compte, comme les numéros de carte de crédit, les numéros de sécurité sociale et d'autres données de connexion.
5. Rançon : Le site hacker signale le vol à l'entreprise et lui demande une raison financière pour lui rendre l'accès. 

Le credential stuffing est un formulaire d'attaque brute. Le pirate informatique peut n'avoir qu'une ou deux combinaisons nom/mot de passe qui fonctionnent. Mais ils sont tous dirigés vers le serveur. 

Pouvez-vous empêcher le bourrage de documents d'identité ?

Aucune entreprise ne souhaite que ses données soient exposées. Mais pour prévenir les attaques de credential stuffing, il faut demander l'aide des programmeurs et des membres. Vous devez travailler en partenariat pour vous assurer que les pirates n'ont pas accès au serveur de l'entreprise. 

Les employés, les utilisateurs et les autres personnes disposant d'un serveur tbd doivent :

• Artisanat unique à déterminer. Réutiliser des informations, ne serait-ce qu'une seule fois, revient à exposer vos serveurs à des risques. Il est difficile de se souvenir de dizaines d'identifiants uniques, mais un tbd peut vous aider à créer et à stocker les données afin d'en faciliter l'utilisation.
• modification du mot de passe often. Passez fréquemment par tbd et modifiez-les de manière significative. Ne décalez pas une lettre ou un chiffre, par exemple. Modifier l'intégralité de la connexion.
• Activez l'authentification à deux facteurs. Recevez une notification sur votre téléphone ou un autre terminal connecté lorsque vous tentez de vous connecter à log. Ce petit geste peut éloigner les pirates, et vous pourriez découvrir que de nombreuses personnes essaient d'utiliser vos données. 

Au niveau de l'entreprise, les sociétés peuvent

• Éduquer. Expliquez à votre utilisateur pourquoi les bonnes pratiques de mot de passe sont si importantes et élaborez des lignes directrices qui expliquent ce qu'il peut faire pour contribuer à la protection des données.
• Observer les tentatives. Surveillez de près les tentatives de connexion. Un pic peut indiquer que votre entreprise est attaquée.
• Créer personnalisé solutions. Vous pouvez utiliser Captcha ou un autre obstacle de connexion pour vaincre le bot. Mais certains experts estiment que les meilleurs outils de prévention sont ceux qui sont créés de toutes pièces.

  Un site hacker peut développer des outils pour contourner les pare-feu courants. Si la vôtre est nouvelle et unique, hacker peut simplement choisir de passer à autre chose au lieu de consacrer du temps à la vaincre. 

Ces mesures n'éliminent pas nécessairement le risque de brèche de données. Mais vous pouvez faire de votre serveur une cible moins attrayante pour un hacker. Cela pourrait épargner à votre entreprise un grand contrat conclu de maux de cœur.

Quelle est la gravité d'une attaque ?

La Securities and Exchange Commission (Commission des opérations de bourse) indique que les attaques de type "credential stuffing" (bourrage de données d'identification) sont en augmentation. Les grandes listes, dont la liste Pemiblanc qui contient plus de 111 millions d'enregistrements, sont en cause. Avec autant de données disponibles sur les noms d'utilisateur et les mots de passe, les pirates informatiques ne semblent pas pouvoir résister. 

L'un des plus grands exemples de credential stuffing date de mai 2014. Le pirate a eu accès aux identifiants de trois employés d'eBay et s'en est servi pour accéder au réseau et à la base de données. a conservé cet accès pendant 229 jours. 

En 2014, JPMorgan Chase a subi une attaque similaire, mais les responsables n'avaient aucune idée de ce qui se passait. Un prestataire a découvert la brèche, ainsi qu'une cache contenant un milliard de noms d'utilisateur et de mots de passe volés. 

Il faut parfois des années pour se remettre d'une telle brèche, et certains de vos clients risquent de ne jamais pardonner votre abus de confiance. En matière de piratage informatique, la prévention est la meilleure politique.

Okta peut vous aider

Découvrez comment Okta peut protéger les identifiants de votre organisation et prévenir les attaques telles que credential stuffing. Nous serions ravis d'examiner vos processus et de vous aider à mettre au point un système de sécurité efficace.

Références

Les chercheurs de Digital Shadows affirment que plus de 15 milliards de tbd volés circulent sur le Dark Web. (Juillet 2020). Magazine CPO. 

Le "bourrage" des titres de compétences : un jeu d'enfant. (Juillet 2020). MarTech Today. 

10 conseils pour stopper les attaques de type "credential stuffing". (février 2019). Medium. 

Cybersécurité : Sauvegarde du compte client contre la compromission des identifiants. (septembre 2020), Commission américaine des valeurs mobilières et des changes. 

credential stuffing Liste contenant 111 millions d'enregistrements trouvée en ligne. (Juillet 2018). Tripwire.

Top 10 des brèches de données de 2020. (Décembre 2020). Magazine de la sécurité.

Dans quelle mesure dois-je craindre que mon mot de passe soit compromis ou volé dans une brèche de données ? C'est ce que disent les experts. (décembre 2020), Forbes.

Le marché mondial des logiciels de notification de brèche de données devrait croître de 725,41 millions de dollars au cours de la période 2020-2024, avec un taux de croissance annuel moyen de 17% au cours de la période de prévision. (Décembre 2020). Yahoo ! Finances. 

Les 15 plus grandes brèches de données du 21e siècle. (avril 2020), RSI. 

La chance a joué un rôle dans la découverte d'une brèche de données chez JPMorgan affectant des millions de personnes. (octobre 2014), Le New York Times.