Le bourrage d'informations d'identification est un type de cyberattaque qui consiste à « stocker » des informations d'identification volées sur plusieurs sites Web.
Des outils comme les bots ont permis aux pirates d'automatiser le bourrage, leur permettant de tester des millions d'identifiants de connexion sur des dizaines de sites en peu de temps. Voici ce que vous devez savoir sur cette attaque et les moyens simples de vous protéger.
Le credential stuffing consiste à entasser une grande collection de mots de passe et de noms d'utilisateur volés sur plusieurs sites Web. Ils dépendent des brèches et des fuites monstrueuses colportées sur le dark web pour leurs données. L'objectif est d'utiliser les millions de combinaisons de connexion et de nom d'utilisateur des fuites précédentes pour infiltrer d'autres sites Web.
Ils s'appuient sur une seule erreur humaine pour réussir leurs attaques, en utilisant le même nom d'utilisateur et/ou mot de passe sur plusieurs sites. Selon des recherches, 85 % de tous les utilisateurs recyclent leurs mots de passe sur différents comptes.
Et c'est ce type de raisonnement qui permet aux cybercriminels d'utiliser les identifiants de connexion d'un site Web pour accéder à d'autres services.
Le taux de réussite est assez faible, de 0,1 à environ 2 %. Cela signifie que pour chaque million d'identifiants de connexion testés, seuls environ 1 000 identifiants peuvent être utilisés pour accéder à d'autres sites Web. Mais ce qui fait que leurs efforts en valent la peine, c'est la mine d'or de données qu'ils peuvent collecter à partir de chaque compte qu'ils infiltrent.
Supposons qu'ils parviennent à pirater environ un millier de comptes et que ceux-ci disposent d'informations bancaires ou d'informations d'identification de carte de crédit. Ils peuvent siphonner des fonds ou les utiliser pour commettre d'autres formes de fraude. D'autres informations d'identification personnelle (PII), telles que les numéros de sécurité sociale ou les informations fiscales, peuvent être utilisées pour commettre des délits tels que l'usurpation d'identité.
Les cybercriminels monétisent tout ce qu'ils trouvent dans chaque compte, ce qui justifie l'attaque malgré le très faible taux de correspondance des connexions.
Bien sûr, les pirates ne saisissent pas manuellement les identifiants de connexion volés un par un sur différents sites Web, car ils ont besoin de millions (voire de milliards) d'identifiants de connexion volés pour que l'attaque en vaille la peine.
Au lieu de cela, les informations d'identification piratées suite à des violations de données sont chargées dans des botnets qui lancent des tentatives de connexion automatisées. Ils utilisent ensuite d'autres outils pour échapper à la détection.
Un seul botnet peut effectuer des milliers de tentatives de connexion par heure. Par exemple, une attaque de credential stuffing en 2016 a utilisé un botnet qui a envoyé plus de 270 000 demandes de connexion sur plusieurs sites par heure.
Alors que de nombreux sites utilisent des mesures de sécurité pour détecter plusieurs connexions frauduleuses, les pirates ont trouvé des moyens de contourner ces mesures.
Une liste de proxy est utilisée pour faire rebondir les demandes et masquer la source ou, tout simplement, donner l'impression que les demandes de connexion proviennent d'emplacements différents. Ils utilisent également d'autres outils pour donner l'impression que les multiples tentatives de connexion proviennent de différents navigateurs.
Cela est dû au fait que plusieurs tentatives de connexion à partir d'un seul type de navigateur (un millier par heure, par exemple) semblent suspectes et ont plus de chances d'être signalées comme frauduleuses.
Toutes ces techniques imitent l'activité de connexion légitime de milliers d'utilisateurs à différents endroits. Cela rend le vecteur d'attaque simple, mais difficile à détecter.
Le Credential Stuffing est un sous-type d'attaque par force brute beaucoup plus puissant car plus ciblé.
Une attaque par force brute consiste essentiellement à deviner des mots de passe à l'aide de différentes combinaisons de caractères aléatoires. Ils utilisent un logiciel automatisé pour faire de multiples suppositions en testant plusieurs combinaisons possibles jusqu'à ce que le mot de passe soit découvert. C'est fait sans contexte.
Le credential stuffing, quant à lui, utilise les informations de connexion et les mots de passe des précédentes violations de données. Ils utilisent une paire mot de passe-nom d'utilisateur provenant d'une fuite d'un site Web, puis la testent sur d'autres services.
Bien que l'utilisation de mots de passe forts puisse vous protéger des attaques par force brute, cela est inutile si vous utilisez le même mot de passe sur d'autres sites Web, lorsqu'une attaque de bourrage est lancée.
Bien que cela puisse sembler identique, le vidage des informations d'identification est un type d'attaque différent qui cible un point d'entrée ou une machine pour infiltrer un réseau.
Alors que le credential stuffing utilise plusieurs identifiants de connexion provenant de violations précédentes pour accéder à d'autres sites Web, le credential dumping implique d'accéder à une seule machine et d'extraire plusieurs identifiants de connexion.
Pour ce faire, accédez aux informations d'identification mises en cache dans les nombreux registres de l'ordinateur ou extrayez les informations d'identification de la base de données du gestionnaire de compte de sécurité (SAM). Ce dernier contient tous les comptes créés avec des mots de passe enregistrés sous forme de hachages.
L'objectif de l'attaque par vidage d'informations d'identification est de s'introduire dans le réseau ou d'accéder à d'autres ordinateurs du système. Après avoir extrait les identifiants de connexion d'une machine, un pirate peut entrer à nouveau dans l'appareil ou accéder à l'ensemble du réseau pour causer plus de dégâts.
Contrairement au bourrage, une attaque de vidage d'informations d'identification utilise un point d'entrée, une machine avec des vulnérabilités non corrigées pour infiltrer un réseau.
CONNEXION :Qu'est-ce que le vidage des informations d'identification ? Protégez-vous avec ces 4 conseils
Pour la plupart des utilisateurs, la meilleure et la plus simple façon de se protéger est d'utiliser des mots de passe uniques pour chaque site Web ou compte. À tout le moins, faites-le pour ceux qui ont vos informations sensibles comme les détails bancaires ou de carte de crédit.
L'activation de l'authentification à deux facteurs (2FA) ou de l'authentification à plusieurs facteurs (MFA) rend la prise de contrôle de compte plus difficile pour les pirates. Ceux-ci reposent sur un moyen de validation secondaire, c'est-à-dire l'envoi d'un code à votre numéro de téléphone ainsi que l'exigence de votre nom d'utilisateur et de votre mot de passe.
Si vous trouvez que la mémorisation de plusieurs mots de passe et noms d'utilisateur est déroutante, vous pouvez utiliser un gestionnaire de mots de passe fiable. Si vous n'êtes pas sûr de leur sécurité, consultez les méthodes sécurisées utilisées par les gestionnaires de mots de passe.
Ou essayez un gestionnaire de mots de passe open source.
Votre mot de passe est comme la clé de votre maison. Il doit être unique, solide et, plus important encore, vous devez le conserver en lieu sûr à tout moment.
Ceux-ci doivent également être mémorables et sécurisés. Vous pouvez explorer différents outils de mot de passe qui peuvent vous aider à créer des mots de passe uniques mais mémorables qui sont difficiles à déchiffrer pour les pirates.