Le credential stuffing, ou recyclage d’identifiants, est un type de cyberattaque consistant à utiliser des identifiants de connexion volés sur un système pour tenter d’accéder à un autre système, sans lien apparent avec le premier.
Les attaques de credential stuffing partent du principe que les utilisateurs emploient souvent les mêmes nom d’utilisateur et mot de passe pour plusieurs comptes. Dès lors, si les cyberattaquants sont en possession des identifiants d’un compte, ils peuvent obtenir l’accès à un autre, sans rapport avec le premier.
Pourquoi le credential stuffing est-il en hausse ?
Le credential stuffing pose un risque croissant pour plusieurs raisons :
- Disponibilité des identifiants : ces dernières années, des dizaines de milliards de noms d’utilisateur et de mots de passe ont été dérobés ou divulgués. Ces identifiants sont publiés et mis en vente sur des places de marché numériques du Dark Web et peuvent être utilisés pour lancer des attaques de credential stuffing et de nombreuses autres cyberattaques.
- Avancées technologiques : les attaques de credential stuffing s’appuient sur des robots (ou bots) ou d’autres outils d’automatisation intelligents pour tenter de se connecter à de multiples comptes en quelques secondes. Comme ces robots sont programmés pour tester une combinaison spécifique d’identifiant utilisateur et de mot de passe, l’outil se limite à une seule tentative de connexion à un système donné. De la sorte, il est en mesure de contourner de nombreux mécanismes de sécurité traditionnels, tels que le blocage des adresses IP à l’origine d’un nombre excessif d’échecs de connexion.
- Barrière à l’entrée peu élevée : lancer une attaque de type credential stuffing ne requiert pas de compétences techniques très poussées et n’est pas très coûteux. Pour 50 dollars seulement, une personne dotée d’un ordinateur peut acheter un compte compromis sur le Dark Web et lancer une telle attaque.
- Adoption massive du télétravail : la pandémie de COVID-19 a accéléré le passage au télétravail et de nombreuses entreprises n’étaient pas préparées à défendre un réseau distribué. Les cyberattaquants ont exploité cette nouvelle tendance et utilisé les identifiants des comptes personnels pour tenter d’accéder à des services et terminaux professionnels.
- Difficulté de la détection : dans le cas d’une attaque de credential stuffing, les cyberadversaires usurpent l’identité d’un utilisateur légitime, par exemple un collaborateur, un sous-traitant, ou un fournisseur tiers. Si vous ajoutez à cela l’absence de malware ou d’autres vecteurs d’attaques, il est très difficile de détecter une attaque de credential stuffing avec des solutions de cybersécurité traditionnelles.
Comment fonctionne une attaque de credential stuffing ?
Les attaques de credential stuffing suivent un mode opératoire assez simple :
- Les cyberattaquants utilisent les identifiants de comptes volés ou achètent des identifiants compromis via le Dark Web. Ceux-ci sont généralement obtenus à la suite d’une compromission de données majeure ou d’une autre cyberattaque. Dans la plupart des cas, ces informations peuvent être achetées à un prix modique.
- Une fois en possession des identifiants d’au moins un compte en ligne, le cyberattaquant configure un botnet ou un autre outil d’automatisation pour tenter de se connecter simultanément à plusieurs comptes non liés. En règle générale, le robot possède une fonctionnalité qui masque ou usurpe l’adresse IP pour éviter de déclencher les outils de sécurité chargés de bloquer des adresses étrangères ou inhabituelles.
- Le robot vérifie ensuite si l’accès a été octroyé à des services ou comptes secondaires. Si la tentative de connexion aboutit, le cyberpirate recueille des informations complémentaires, telles que des données personnelles et des informations bancaires ou de carte de crédit stockées. Les escrocs peuvent également se livrer à d’autres arnaques ou activités criminelles, par exemple :
- Vente de l’accès à des comptes d’abonnement compromis en ligne — services de streaming, réseaux sociaux, plateformes de jeux, etc. — sur le Dark Web
- Achat de biens et services à l’aide de méthodes de paiement enregistrées
- Prise de contrôle de comptes, qui consiste à prendre le contrôle du compte et à modifier les paramètres de sécurité, les coordonnées de contact et d’autres détails pour faciliter d’autres activités par la suite
- Vente d’informations personnelles obtenues via le compte du client pour lancer des campagnes de phishing et faciliter d’autres types d’attaques plus avancées
Lorsqu’un cyberattaquant parvient à s’introduire dans un réseau d’entreprise à l’aide d’un compte compromis, par exemple celui d’un collaborateur, d’un sous-traitant ou d’un fournisseur, il en profite pour se déplacer latéralement, installer des portes dérobées, collecter des informations sur le système en vue de les utiliser lors d’attaques ultérieures et, bien sûr, voler des données. Comme le cyberattaquant utilise les identifiants d’un compte légitime, il peut se faire passer pour l’utilisateur réel, ce qui lui permet d’échapper aux mécanismes de détection et aux outils de sécurité traditionnels.
Attaques de credential stuffing et attaques par force brute
Bien que similaires par nature, les attaques de credential stuffing et les attaques par force brute présentent certaines différences.
Une attaque par force brute est une cyberattaque au cours de laquelle un cybercriminel tente d’accéder à des données et systèmes sensibles en essayant systématiquement un maximum de combinaisons de noms d’utilisateur et de mots de passe.
Le credential stuffing est similaire à une attaque par force brute en cela que le cyberadversaire tente d’accéder de façon non autorisée à un autre système. Toutefois, les deux attaques présentent certaines différences majeures :
Caractéristiques des attaques
Lors d’une attaque par force brute, le cybercriminel s’efforce d’obtenir un accès en devinant le nom de l’utilisateur, son mot de passe ou les deux. La plupart du temps, les cyberattaquants emploient des mots de passe faciles ou des expressions courantes pour tenter d’accéder aux systèmes. En règle générale, les attaques ne réussissent que si l’utilisateur a choisi un mot de passe simple et fréquent, par exemple Azerty, motdepasse ou 123456.
Dans une attaque de credential stuffing, le cyberadversaire est en possession des identifiants de l’utilisateur pour un service donné et tente d’utiliser ces informations pour accéder à un autre réseau, sans rapport avec le précédent. Par exemple, si les identifiants du service de téléphonie mobile d’un utilisateur ont été compromis lors d’une fuite de données, le cyberattaquant utilise ces informations pour se connecter à d’autres services d’utilité publique, sites bancaires, places de marché ou comptes numériques.
Tentatives d’accès
Lors d’une attaque par force brute, le robot est généralement programmé pour tenter de deviner plusieurs combinaisons de nom d’utilisateur et mot de passe. Même si ces attaques ont gagné en sophistication et peuvent contourner certaines mesures de sécurité, beaucoup se soldent par le blocage de l’adresse IP après un certain nombre de tentatives de connexion. Ce facteur, combiné au manque de contexte dont dispose le cyberattaquant pour deviner les identifiants, contribue au peu de succès des attaques par force brute, par rapport au credential stuffing.
Les attaques de credential stuffing sont bien plus spécifiques. Ici, le robot tente de se connecter à divers sites à l’aide d’une combinaison spécifique d’ID utilisateur et de mot de passe. Comme l’outil n’effectue qu’une seule tentative de connexion, ces activités échappent généralement à la détection de la plupart des outils de sécurité traditionnels.
Force du mot de passe
Comme les attaques par force brute tentent d’accéder à un site ou service à l’aide d’un mot de passe simple et courant, il est possible d’éviter la plupart de ces attaques en sélectionnant un mot de passe fort et unique pour chaque site ou service.
Dans une attaque de credential stuffing, la force du mot de passe n’entre pas en ligne de compte puisque le cyberattaquant utilise un compte compromis comme point de départ pour les tentatives de connexion ultérieures. Même le plus fort des mots de passe peut être vulnérable s’il est partagé par plusieurs comptes.
Comment détecter et prévenir le credential stuffing ?
Pour éviter d’être victimes d’attaques de credential stuffing, les entreprises doivent comprendre que les bonnes pratiques de sécurité habituelles, telles que le respect des exigences en matière de mots de passe et la surveillance de tentatives répétées de connexion, sont d’une utilité limitée pour contrer cette méthode d’attaque. Cela étant, les entreprises peuvent prendre plusieurs mesures efficaces pour prévenir les attaques de credential stuffing et limiter leur impact :
Activer l’authentification à plusieurs facteurs (MFA)
L’authentification multifacteur (MFA) exige que tous les utilisateurs emploient au moins deux méthodes pour s’authentifier. Il peut s’agir d’une combinaison d’identifiants de compte classiques, d’un jeton de sécurité transmis par SMS ou un outil d’authentification, ou encore d’une vérification biométrique. Les entreprises qui activent la MFA sont bien mieux protégées contre les attaques de credential stuffing, car les cyberattaquants ne disposent généralement que des identifiants de compte, lesquels ne leur sont d’aucune utilité sans facteur d’authentification secondaire.
Adopter une bonne hygiène IT
Un outil d’hygiène IT tel que CrowdStrike Falcon Discover™ offre une visibilité sur l’utilisation des identifiants dans l’entreprise afin de détecter des activités administratives potentiellement malveillantes. La fonction de surveillance des comptes permet aux équipes de sécurité de vérifier la présence de comptes créés par des cyberattaquants pour conserver leur accès. Elle veille également au changement périodique de mots de passe, ce qui limite l’utilisation d’identifiants volés dans le temps.
Ajouter un Threat Hunting proactif
Un véritable Threat Hunting proactif, tel que CrowdStrike Falcon OverWatch™, permet de traquer les menaces 24 h sur 24 et 7 j sur 7 afin de détecter les attaques inconnues et furtives utilisant des identifiants volés sous le couvert de l’identité d’utilisateurs légitimes. Ces types d’attaques peuvent en effet échapper aux dispositifs de sécurité standard. En s’appuyant sur l’expertise acquise lors des « affrontements » quotidiens avec des cyberattaquants APT sophistiqués, l’équipe OverWatch identifie et suit des millions d’indices infimes de traque pour vérifier s’ils sont légitimes ou malveillants et, le cas échéant, avertit les clients.
Sensibiliser les collaborateurs aux risques posés par des mots de passe faibles
Il est presque toujours possible de remonter la piste des attaques de credential stuffing à un individu utilisant le même mot de passe pour plusieurs services. Même si l’utilisateur a sélectionné un mot de passe fort, il est vulnérable à une compromission s’il partage ces identifiants sur plusieurs comptes. Offrez des formations de sensibilisation aux utilisateurs pour qu’ils évitent de réutiliser leurs mots de passe et qu’ils respectent les bonnes pratiques en matière de sélection de mots de passe forts et uniques. Fournissez un outil de gestion des mots de passe qui empêche les utilisateurs de choisir des mots de passe faciles à mémoriser et utilisez un outil de découverte capable d’identifier les mots de passe par défaut qui n’ont pas été modifiés.