Explication des attaques de credential stuffing (et quelques exemples récents)
Les attaques de credential stuffing sont de plus en plus courantes, posant des menaces importantes à la sécurité Internet. Dans ces attaques,les pirates informatiques récupèrent des informations d'identification qui ont été divulguées lors de violations de donnéesou par d’autres moyens, puis essayez d’utiliser ces informations d’identification pour vous connecter aux autres comptes d’un utilisateur.
Les attaques de credential stuffing sont automatisées et exécutées à grande échelle, ce qui rend l'opération bien plus rentable que si quelqu'un essayait de le faire manuellement.
Chaque fois que vous entendez parler d'une violation de données majeure impliquant les mots de passe des utilisateurs, les victimes peuvent finir par se voir utiliser ces informations d'identification divulguées contre elles dans le cadre d'une attaque de bourrage d'informations d'identification.Les noms d'utilisateur et leurs mots de passe correspondants peuvent également être acquis par phishing ou par des attaques de l'homme du milieu..
Le credential stuffing a un taux de réussite relativement élevé, car les utilisateurs ne se rendent souvent pas compte que leurs informations d’identification ont été divulguées lors d’une violation. Même s’ils le font, ils tardent souvent à changer les mots de passe ou ne s’en donnent même pas la peine.
Si l’on ajoute à cela l’habitude omniprésente d’utiliser le même mot de passe pour plusieurs comptes, un grand nombre d’internautes s’exposent à des attaques dévastatrices et de grande envergure. À l’extrémité la plus extrême de l’échelle,le credential stuffing peut entraîner un vol d’identitéet des pertes financières importantes, causant des ravages dans la vie de la victime.
Bien que le credential stuffing soit souvent observé dans les attaques massives contre les utilisateurs d’Internet, il constitue également une menace importante lorsque des informations d’identification précédemment exposées sont utilisées pour obtenir un accès privilégié aux systèmes d’une organisation. Une fois que les pirates ont pénétré à l’intérieur, ils peuvent voler des données ou lancer d’autres campagnes criminelles.
Quelle est l’ampleur de la menace du credential stuffing ?
Le credential stuffing est devenu une attaque incroyablement courante, avec Intelligent enregistrant 30 milliards de tentatives en 2018. Cela représente en moyenne 115 millions de tentatives chaque jour , bien qu'Akamai ait enregistré plusieurs jours où le nombre d'attaques a culminé à plus de 250 millions.
In Shape Security Rapport sur les déversements d'accréditifs 2018 , des taux de réussite compris entre 0,02 pour cent et près de 1 pour cent ont été signalés pour les groupes d'attaque sophistiqués. Ceux qui tentent de faire du « credential stuffing » avec des compétences moindres et des diplômes plus anciens ont un taux de réussite beaucoup plus faible.
Malgré le taux de réussite apparemment faible, l’ampleur du credential stuffing le rend incroyablement efficace pour les pirates informatiques et extrêmement coûteux pour les utilisateurs et les entreprises. Selon un rapport 2017 de Shape Security, Les attaques de credential stuffing coûtent aux entreprises américaines plus de 5 milliards de dollars chaque année. .
Les premiers vols de données qui conduisent au credential stuffing peut affecter presque toutes les organisations qui stockent les informations des utilisateurs sous forme numérique . Au cours des dernières années, des violations de données ont frappé bon nombre des plus grandes marques mondiales et d’innombrables petites entreprises.
Une fois les identifiants volés, les attaques de credential stuffing sont observées dans divers secteurs, notamment la vente au détail, le streaming vidéo, d'autres divertissements, la banque, l'hôtellerie et les compagnies aériennes.
Un 2017 rapport de l'institut Pokémon a constaté que parmi les entreprises impliquées dans l'enquête, les attaques de credential stuffing se produisaient en moyenne 12,7 fois par mois. Il a constaté que dans chacune de ces attaques, les pirates ont ciblé en moyenne 1 252 comptes d'utilisateurs .
En raison des milliers de violations de données survenues au cours des dernières décennies, des milliards d’ensembles uniques d’identifiants d’utilisateurs circulent désormais dans diverses parties d’Internet. Selon toute vraisemblance, vous disposez probablement de plusieurs combinaisons de noms d’utilisateur et de mots de passe à la disposition des pirates.
Début 2019, une collection massive d’informations d’identification provenant de violations antérieures a été publiée. Connu comme Collections #1-5 , la première version contenait une estimation 773 millions d'e-mails uniques et 21 millions de mots de passe tandis que les quatre collections suivantes comptaient 2,2 milliards d'e-mails uniques. Il n’est pas clair s’il existe un chevauchement entre les deux vidages de données.
Même si c’est la première fois qu’autant de noms d’utilisateur et de mots de passe sont rassemblés, l’écrasante majorité avait déjà été divulguée auparavant. Une partie était nouvelle, la collection n°1 contenant environ 10 millions de mots de passe inédits.
Bourrage d’informations d’identification ou forçage brutal
Le credential stuffing est apparu comme un moyen bien plus pratique de s’introduire dans les comptes d’utilisateurs que par la force brute. Lors d’une attaque par force brute, les pirates parcourent simplement toutes les combinaisons de mots de passe possibles jusqu’à ce qu’ils trouvent la bonne.
Même si cela peut paraître ardu, les listes des mots de passe et des attaques par dictionnaire les plus populaires rendent le processus beaucoup plus rapide que de simples essais et erreurs. Cependant, plus le mot de passe d’un utilisateur est sophistiqué, plus cela prendra de temps et plus il coûtera cher de le déchiffrer.
Les utilisateurs ont lentement répondu à l’appel à rendre leurs mots de passe plus longs et plus complexes. Alors que beaucoup de gens utilisent encore des mots de passe horribles , cette lente amélioration rend le forçage brutal plus difficile. La plupart des sites ont également mis en place des mesures pour détecter les activités de connexion suspectes et limiter le nombre de suppositions ou bloquer les comptes après plusieurs tentatives infructueuses.
Mais les pirates informatiques sont très avisés et ont de plus en plus recours au credential stuffing. Cela peut être un moyen beaucoup plus efficace de dépenser des ressources que le forçage brutal, car même des mots de passe relativement courts peuvent nécessiter des centaines de milliards de suppositions s'ils ont été créés de manière appropriée.
Même si le taux de réussite du credential stuffing (les estimations varient, mais le Rapport de sécurité des formes indique un taux de réussite de 1% pour ses attaquants les plus sophistiqués) peut sembler faible, mais il est extrêmement efficace par rapport au forçage brutal.
Les attaques de credential stuffing sont également beaucoup plus difficiles à détecter et à bloquer. car ils impliquent des tentatives distribuées de connexion à un grand nombre de comptes différents, plutôt que des tentatives de connexion répétées pour un seul compte. Ce dernier modèle d’activité rend les attaques par force brute faciles à reconnaître et simples à bloquer.
D’où les attaquants obtiennent-ils les informations d’identification ?
Les informations d'identification peuvent être obtenues par le biais de phishing, d'attaques de l'homme du milieu et via d'autres tactiques, mais la meilleure façon de les acquérir en masse est de le faire. pénétrer dans les systèmes d’une entreprise et accéder à ses bases de données .
Des groupes de cybercriminels sophistiqués rôdent autour de diverses organisations, à la recherche de vulnérabilités qu'ils peuvent exploiter pour y accéder. Si la sécurité est exceptionnellement mauvaise, les script kiddies et les hackers mineurs peuvent également se frayer un chemin à l'intérieur. Ils recherchent ensuite des bases de données précieuses et exfiltrent les données.
Si les mots de passe ont été stockés en toute sécurité, ils n’auront probablement aucune valeur. Mais lorsque les pirates informatiques découvrent des mots de passe stockés sous forme de texte brut ou utilisant de mauvais processus de hachage et de salage, ils ont trouvé l’or.
Les informations d'identification volées valent le plus lorsqu'elles sont fraîches . À ce stade, les utilisateurs n’ont pas eu la possibilité de modifier leur mot de passe. Plus les pirates informatiques peuvent cacher le vol à l’entreprise concernée, plus les informations d’identification conserveront leur valeur longtemps. C’est pourquoi les groupes sophistiqués tentent d’agir furtivement et d’éviter d’être détectés.
Selon Sécurité des formes , dans les cas où la date de compromission pouvait être déduite (dans un tiers des violations, l'organisation n'a pas pu déterminer quand la compromission s'est produite), la moitié de tous les vols d'identifiants ont été découverts dans un délai de quatre mois, mais parce que la détection prend des années dans une minorité de cas , il étend la durée moyenne à 15 mois.
Lorsque des mots de passe sont initialement volés, les attaquants et leurs proches peuvent être les premiers à en profiter – après tout, c'est l'étape où les qualifications sont les plus rentables . Une fois qu’ils les ont utilisés, ils peuvent alors essayer de les vendre pour gagner encore plus d’argent grâce à l’attaque. Alternativement, ils peuvent choisir de confier immédiatement les informations d’identification, soit à des contacts criminels, sur des marchés du dark web ou via des forums de piratage.
Le prix des identifiants varie en fonction d'un certain nombre de facteurs. Ceux-ci inclus:
- L’âge des diplômes .
- Si la violation a été rendue publique .
- Si les informations d'identification ont été vérifiées .
- Si les informations d'identification sont accompagnées d'une garantie – Oui, c’est vrai, certaines entreprises criminelles astucieuses offrent même une garantie que les informations d’identification fonctionneront. Dans le cas contraire, ils enverront des remplacements à l'acheteur.
- La réputation du vendeur – Si un vendeur est inconnu, il est moins probable qu’on lui fasse confiance et il se peut donc qu’il ne soit pas en mesure d’obtenir un prix élevé.
- Où les informations d'identification sont vendues – les ventes privées, les forums de hacking et les places de marché du dark web ont chacun leurs propres tarifs.
- Le nombre d'identifiants dans le package .
- Le type de compte auquel ils accordent l’accès .
- Le montant des fonds disponibles sur un compte (le cas échéant).
Si les informations d'identification ont déjà été vérifiées, elles sont alors prêtes à être utilisées par des attaquants (voir le Que se passe-t-il lorsque les informations d'identification ont été vérifiées section). Les informations d'identification non vérifiées doivent d'abord être vérifiées et se vendront à un coût bien inférieur.
Un nouveau compte bancaire contenant beaucoup d’argent se vendra à un prix élevé s’il a été vérifié par un vendeur réputé, tandis qu’un ensemble d’informations d’identification non vérifiées de faible valeur peut coûter moins d’un centime. Au haut de gamme, informations d'identification se vendent 190 $ chacun ou plus. Dans la plage inférieure, un Compte Netflix qui est garanti pour durer une semaine peut se vendre environ 0,25 $.
Un paquet en vrac de 3,8 milliards d’identifiants non vérifiés était proposé au prix de 2 999 $, mais on ne sait pas à quel point ils sont frais ou précieux. Compte tenu du prix relativement bas par titre et du grand nombre, la majorité est probablement assez âgée et aurait un faible taux de réussite.
Au fil du temps, les ensembles d'informations d'identification perdent de leur valeur . L’entreprise a peut-être découvert la faille, ou suffisamment de temps s’est écoulé pour que l’écrasante majorité des utilisateurs aient modifié leur mot de passe. À terme, les données pourraient remonter à la surface et même être accessibles gratuitement, mais à ce stade, le taux de réussite sera nettement inférieur.
Que se passe-t-il lorsqu'un attaquant acquiert des informations d'identification non vérifiées ?
Un attaquant peut avoir volé les identifiants lui-même, les avoir obtenus auprès d'un pirate informatique, les avoir achetés sur le dark web ou même avoir acquis gratuitement des identifiants bas de gamme. Une fois qu'ils les ont, la prochaine étape est de lancer l'attaque . Une attaque peut adopter plusieurs approches différentes. La meilleure option dépendra des compétences, de la sophistication, du délai et des ressources de l’attaquant.
Création ou achat d'un logiciel d'attaque
Une fois les identifiants en main, les attaquants ont également besoin d’un logiciel pour automatiser les tentatives de bourrage d’identifiants, ainsi que de proxys pour lancer les attaques à partir de différentes adresses IP. Les attaquants les plus avancés écriront leurs propres scripts pour lancer l'attaque, tandis que d'autres utiliseront des logiciels préexistants.
L’avantage de créer un nouveau script est qu’il est plus difficile à détecter et à bloquer par les sites Web cibles, ce qui rend l’attaque plus susceptible de réussir. Cela ajoute un effort supplémentaire à l’attaque, mais cela peut aussi s’avérer payant à long terme. Alternativement, un aspirant à acquérir des titres de compétences peut acheter une variété de programmes pour faire le travail à sa place.
Les outils varient énormément. À une extrémité, il y a le credential-stuffing-as-a-service, qui fonctionne un peu comme n’importe quel autre logiciel-as-a-service complet. Ces services de vérification simplifient la tâche, ouvrant le « credential stuffing » à ceux qui n’ont aucune compétence technique significative.
Avec un service de vérification, tout ce dont un attaquant a besoin est une liste de noms d'utilisateur et de mots de passe. . Ils le soumettent au service, puis paient à l'opérateur quelques centimes pour chaque identifiant validé avec succès.
Ces services ont tendance à être spécifiques à un site et n’existent que pour les organisations disposant d’une large base d’utilisateurs. Il n’est pas économiquement viable de créer ces vérificateurs pour des sites moins populaires. Malgré leur manque de variabilité, ils simplifient au maximum le credential stuffing, car ces services s'occupent également des proxys .
Si les compétences d’un attaquant se situent entre les deux, il peut acheter une boîte à outils en ligne plutôt que de développer le logiciel lui-même. Ces outils ont leur propre cycle de vie , et lorsque des outils plus sophistiqués sont développés pour la première fois, ils sont souvent vendus sur des marchés haut de gamme à un coût plus élevé. Lorsqu’un outil est nouveau, il est plus susceptible d’échapper aux mécanismes de détection utilisés par les sites Web, ce qui justifie son prix plus élevé.
À mesure que les outils vieillissent, leur prix baisse et ils sont introduits sur le marché de masse. De nombreux outils différents sont proposés tels que : Black Bullet, Private Keeper, SENTRY, SNIPR, WOXY et STORM. Les forfaits de base peuvent gamme de prix d'environ 5 $ par fichier de configuration (Sentry MBA) à 50 $ pour acheter le logiciel directement (Black Bullet), bien que des options plus avancées soient également disponibles.
Les fonctionnalités individuelles varient selon les programmes, mais beaucoup d'entre eux ont des interfaces utilisateur élégantes, offrent un support client décent, un contournement CAPTCHA et des défis anti-bot Javascript.
Procurations de location
Sauf si un attaquant utilise un service de vérification, ils auront également besoin de proxys pour lancer l'attaque . Si un attaquant tentait de « credential stuffing » à partir d’une seule adresse IP, il serait rapidement détecté et bloqué. Les proxys répartissent les tentatives de connexion, ce qui permet de tromper les mécanismes de défense mis en place par les sites.
Les proxys gratuits sont une option, mais ils sont lents et peu susceptibles de fonctionner. Les serveurs proxy payants offrent une autre alternative, mais le meilleur choix est d'opter pour un botnet. Les botnets sont généralement constitués d'ordinateurs infectés par des logiciels malveillants, d'appareils IoT mal sécurisés comme des routeurs et des caméras de sécurité, ou de serveurs qui ont été piratés. Les tentatives de connexion se produisent via ces appareils compromis.
Ces botnets sont relativement bon marché à louer , et ils peuvent être facilement trouvés sur les forums de piratage et sur le dark web. Le prix dépendra du nombre d'hôtes inclus et de l'endroit où ils sont chargés, mais un petit botnet peut être loué pour moins de 50 $ .
Que se passe-t-il une fois les informations d'identification vérifiées ?
Une fois que les pirates ont obtenu leurs informations d'identification et mis en place le processus de vérification via un service de vérification ou un logiciel et un botnet proxy, ils peuvent essentiellement s'asseoir et attendre pendant que le programme valide automatiquement les comptes.
Une fois leur liste d’informations d’identification parcourue, ils se retrouveront avec un nombre beaucoup plus petit d’informations d’identification qui accordent toujours l’accès au compte. À ce stade, les cybercriminels ont le choix entre plusieurs approches différentes pour monétiser les comptes.
L’option la plus simple consiste simplement à les revendre en gros , soit à leurs associés criminels, via des forums de piratage ou sur des marchés du dark web. Cela implique le moins de travail, mais cela peut aussi laisser beaucoup d’argent sur la table.
Le prix de vente d'un compte eBay vérifié varie, mais il a été répertorié pour environ 10 $ avant. Ce compte pourrait potentiellement générer des centaines, voire des milliers de dollars de bénéfices, mais cela implique plus de risques et d’efforts . Si un attaquant est à la hauteur, il peut profiter lui-même de ses comptes et maximiser ses profits. Sinon, l’opportunité revient à celui qui l’achète.
Les comptes peuvent être abusés de plusieurs manières différentes. La meilleure option dépendra de la situation unique, des compétences de l’attaquant et du type de compte. Les choix incluent :
- Voler l’argent qui pourrait se trouver sur le compte ou effectuer des achats frauduleux avec.
- Utiliser les données du compte pour commettre un vol d'identité, comme une fraude à l'assurance ou l'inscription à des cartes de crédit.
- Tirer parti de l’accès pour infiltrer les systèmes d’une entreprise et voler plus de données.
- Utiliser des informations personnelles pour commettre d’autres crimes.
Attaques récentes de credential stuffing
Le credential stuffing est un type d’attaque courant dans lequel de nombreuses marques populaires ont été victimes. Voici quelques exemples récents :
Superdrogue
En 2018, le détaillant britannique de cosmétiques était contacté par des pirates qui prétendait détenir les données des comptes de 20 000 de ses clients. Les pirates ont demandé une rançon à l'entreprise, mais lorsqu'ils ont transmis les coordonnées de 386 clients, l'enquête préliminaire a conduit l'entreprise à croire que les informations d'identification avaient été acquis via le credential stuffing plutôt que par une violation de données .
Il semble que les pirates aient récupéré des données provenant de violations d'autres organisations et les aient utilisées pour découvrir les connexions d'un petit nombre de clients de Superdrug. La déclaration de Superdrug affirmait qu’une évaluation indépendante n’avait révélé aucune violation de leurs systèmes et que la société avait refusé de payer une rançon aux pirates.
Superdrug a informé les utilisateurs concernés et leur a recommandé de modifier leurs mots de passe.
Uber
Logo Uber par Uber Technologies Inc. sous licence CC0
Uber a été sévèrement puni suite à sa tromperie suite à une violation de données survenue en 2016. La société a été condamnée à une amende totale de 1,2 million de dollars de la part de régulateurs distincts au Royaume-Uni et aux Pays-Bas, bien que les deux sanctions résultent du même incident.
Une enquête du Bureau du commissaire à l’information du Royaume-Uni (ICO) trouvé ceci un attaquant a accédé au stockage de données d'Uber grâce au credential stuffing . Ils ont utilisé les informations d’identification d’un employé d’Uber précédemment exposées sur d’autres sites Web pour accéder à son compte GitHub.
Une fois dans ce compte, l’attaquant a trouvé les informations de connexion aux compartiments Amazon Web Service S3 où les données d’Uber étaient stockées. Cela leur a permis de voler les données de 57 millions d’utilisateurs d’Uber, y compris les conducteurs et les passagers.
Les attaquants ont ensuite contacté Uber et ont exigé un paiement de 100 000 $ pour obtenir des informations sur la manière dont ils avaient pu accéder aux compartiments S3. Uber a payé, donnant l'impression que le paiement faisait partie de son programme de bug bounty, mais il n'a pas rendu l'affaire entièrement publique.
L'entreprise n'a finalement révélé les détails de la violation qu'environ un an plus tard, fin 2017. L'incident de piratage et la dissimulation qui en a résulté ont conduit Uber à être puni pour plusieurs raisons différentes – pour de mauvaises pratiques de sécurité, pour notification tardive. , et pour avoir été trompeur à propos de ce qu'on appelle le bug bounty.
HSBC
En 2018, HSBC a informé certains de ses clients qu'ils étaient victimes d'une violation de données. Les attaquants ont volé des noms, des numéros de compte, des numéros de téléphone, des historiques de transactions, des dates de naissance, des soldes de comptes, des adresses, des adresses e-mail et bien plus encore.
Selon Entreprise Rapide , la violation a touché moins de 1 pour cent des 1,4 million de clients de la banque aux États-Unis. Les parties concernées se sont vu offrir un an de services de surveillance du crédit et de protection contre le vol d'identité.
La violation s'est apparemment produite entre le 4 et le 14 octobre 2018 et le credential stuffing a été attribué comme mode d'entrée . Il est probable que des employés clés réutilisaient les noms d’utilisateur et les mots de passe d’autres comptes qui avaient déjà été divulgués.
Les attaquants auraient pu utiliser ces informations pour obtenir un accès privilégié aux systèmes de HSBC, ce qui aurait permis de voler les données.
Début 2019, Reddit a bloqué l'accès des utilisateurs à leurs comptes après avoir soupçonné des attaques de type credential stuffing. L'équipe de sécurité de Reddit a remarqué une activité inhabituelle provenant d'« un grand groupe de comptes », qu'elle a supposé être très probablement causé par le credential stuffing .
Pour empêcher la prise de contrôle des comptes, les utilisateurs ont été verrouillés et forcés à réinitialiser les mots de passe avant que les comptes puissent être restaurés. Certains des utilisateurs concernés ont déclaré qu'ils utilisaient des mots de passe uniques et forts, ainsi qu'une authentification à deux facteurs.
Cela a donné lieu à des spéculations selon lesquelles le site aurait pu rencontrer des problèmes de sécurité de son côté et utilisait le credential stuffing comme excuse pour blâmer les utilisateurs.
Une autre explication est que Reddit a peut-être décidé de verrouiller et de réinitialiser les mots de passe de tout compte ayant subi une tentative de connexion suspecte, plutôt que uniquement des comptes dont les tentatives de connexion ont réussi. Si tel est le cas, l’adoption d’une authentification à deux facteurs ou de mots de passe forts et uniques ne serait pas pertinente.
Mouvement quotidien
Plusieurs semaines après l'incident de sécurité de Reddit, les utilisateurs de DailyMotion ont également été victimes de bourrage d'informations d'identification . La plateforme de streaming vidéo a envoyé un e-mail à un groupe d'utilisateurs pour les informer que les attaquants peuvent avoir utilisé le credential stuffing pour accéder à leurs comptes .
Son équipe de sécurité a déconnecté les utilisateurs susceptibles d'avoir été concernés et leur a envoyé un lien afin qu'ils puissent réinitialiser leurs mots de passe. DailyMotion a également signalé la violation aux autorités françaises (le site est basé en France), comme l'exige le Règlement général sur la protection des données (RGPD) européen récemment adopté.
Deliveroo
Les clients qui utilisent Deliveroo, le service de livraison de nourriture, sont victimes de credential stuffing depuis des années. Beaucoup de ces attaques échappent au contrôle de Deliveroo mais, en raison de certains malentendus, l’entreprise a fait l’objet de critiques injustes, comme le montre un article publié par Deliveroo. Nouvel homme d'État .
L'article et la controverse qui l'entoure semblent s'articuler autour de idées fausses sur le credential stuffing . Il semble blâmer Deliveroo pour les attaques qui ont en réalité été causées par des données divulguées ailleurs.
D’après les informations accessibles au public, il semble que l’auteur de l’article du New Statesman ait été victime d’un credential stuffing suite à la réutilisation de son mot de passe provenant d’autres comptes. Il n’existe aucune preuve que Deliveroo ait subi une violation ayant entraîné des achats frauduleux de l’auteur ou de toute autre partie.
Même si une entreprise suit toutes les meilleures pratiques de sécurité, elle ne peut pas faire grand-chose pour empêcher ses clients de réutiliser les mêmes mots de passe. Ils peuvent recommander des mots de passe uniques autant qu’ils le souhaitent, mais il leur est impossible de forcer les utilisateurs à adopter un mot de passe unique pour ce compte.
Bien que l'article cite un avocat qui affirme que Deliveroo pourrait être confronté à des sanctions en vertu du RGPD, ces déclarations semblent fondées sur des hypothèses erronées sur la nature de l'attaque. Au moment de la rédaction de cet article, Deliveroo ne semble faire l’objet d’aucune enquête publique concernant les attaques de credential stuffing.
Camp de base
Camp de base, le service de gestion de projet , aussi fait face à un grand nombre d’attaques de credential stuffing en début d’année . Son équipe de sécurité a remarqué une forte augmentation des tentatives de connexion, puis a tenté de bloquer les adresses IP suspectes pour tenter d'empêcher l'attaque.
Cela a également permis au CAPTCHA d'endiguer le flux, mais 124 comptes ont quand même été consultés avec succès. La plate-forme a déconnecté ces utilisateurs et réinitialisé les mots de passe, envoyant un e-mail aux personnes concernées pour les informer, ainsi que des instructions sur la manière dont elles peuvent réactiver leurs comptes.
Une attaque plus puissante a eu lieu le lendemain, mais cette fois, elle n'a réussi à accéder qu'à 89 comptes. Basecamp a répondu de la même manière pour protéger ses utilisateurs. Il semble que ces attaques n’étaient que des tentatives de validation des informations d’identification des utilisateurs, et les attaquants ne semblent pas avoir causé de dommages aux comptes.
Si Basecamp n'avait pas réagi aussi rapidement, les attaques auraient pu toucher un nombre bien plus important de comptes, avec des répercussions plus graves qu'un simple changement de mot de passe pour les utilisateurs.
TurboImpôt
Les titulaires de comptes TurboImpôt ont également été mêlés à une attaque de credential stuffing début 2019. On ne sait pas combien d’utilisateurs de TurboImpôt ont été touchés, mais ces attaques étaient particulièrement inquiétantes en raison de la grande quantité de données personnelles et financières contenues dans les dossiers de l’entreprise.
La société mère a désactivé temporairement les comptes concernés, obligeant ces utilisateurs à appeler ou à envoyer un e-mail à son service client et à vérifier leur identité avant de pouvoir réactiver leurs comptes. La société mère est offrant aux victimes un an de services de surveillance du crédit, de protection contre le vol d'identité et de restauration d'identité pour aider à protéger les utilisateurs.
Rien n’indique que ces attaques résultent d’une violation de données. Il semble que les clients concernés n’étaient vulnérables à l’attaque que parce qu’ils réutilisaient leurs mots de passe sur plusieurs comptes. De toute évidence, ImpôtRapide semble aller au-delà de ses attentes en offrant des services de protection gratuits, considérant que les attaques n'ont pas été causées par ses propres failles de sécurité.
Dunkin Donuts
Coffret Dunkin' Donuts par Hao dream-case sous licence CC0
Le credential stuffing est un fléau Dunkin Donuts titulaires de comptes récemment. La société a signalé attaques de credential stuffing contre ses clients deux fois en trois mois . Le premier incident s’est produit fin 2018, tandis que le second s’est produit en janvier 2019. Chaque incident a été signalé publiquement environ un mois après l’attaque.
Les attaques ont été lancées avec des informations d’identification provenant de violations antérieures, et une déclaration de Dunkin’ Donuts a révélé que 1 200 de ses 10 millions d’utilisateurs ont été concernés. Les victimes ont reçu des notifications, leurs mots de passe ont été réinitialisés et leurs cartes Dunkin ont été réémises. La société affirme que ses systèmes n’ont pas été piratés et qu’elle a été alertée des attaques de credential stuffing perpétrées par son fournisseur de sécurité.
Même si un compte Dunkin' Donuts ne semble pas être le bien le plus précieux dans le monde du piratage informatique, ces comptes étaient en réalité vendus en ligne. Les criminels peuvent les monétiser soit en prenant les informations personnelles, soit en abusant du système de récompense de Dunkin' Donuts.
Comment minimiser les risques d’attaques de credential stuffing
Les attaques de credential stuffing constituent une menace importante à la fois pour les utilisateurs Internet habituels et pour les organisations. Les gens normaux risquent de se faire voler leurs données personnelles, de succomber à une usurpation d'identité, de voir des achats frauduleux accumuler sur leurs comptes ou même de se voir retirer tout leur argent.
Les entreprises doivent se méfier des pirates informatiques qui utilisent le credential stuffing pour obtenir un accès privilégié, ce qui peut entraîner des violations de données ou d’autres attaques . Ils doivent également faire de leur mieux pour protéger leurs clients. Comme nous l’avons vu dans l’exemple de Deliveroo ci-dessus, le credential stuffing peut paraître très mauvais pour les organisations, même si les attaques ne sont pas vraiment de leur faute.
Les gens sont tellement habitués aux violations de données causées par une mauvaise sécurité organisationnelle que la plupart ne comprennent pas les détails techniques du credential stuffing. Il leur est alors facile de se tromper et de rejeter la faute sur l’entreprise pour leurs propres mauvaises pratiques en matière de mots de passe. Quelle que soit la faute de qui, les entreprises doivent être extrêmement prudentes dans la façon dont elles abordent ces situations.
Minimiser les risques de « credential stuffing » pour les individus
Les violations de données ne vont pas disparaître de sitôt, et même si elles disparaissaient, des milliards d’identifiants ont déjà été divulgués en ligne. Heureusement, il existe plusieurs mesures différentes que vous pouvez adopter pour réduire considérablement les risques auxquels vous êtes confronté :
Utilisez des mots de passe uniques pour chaque compte
La mesure la plus importante que les utilisateurs peuvent prendre pour se protéger consiste à définir des mots de passe uniques et forts pour chacun de leurs comptes.
Par unique, nous entendons plus qu’un simple changement de lettre, de chiffre ou de symbole. « Hunter1 », « Hunter2 », « Hunter3 », etc. ne suffiront tout simplement pas. Pour vous protéger contre ces attaques et d’autres, vos mots de passe doivent être sensiblement différents pour chacun de vos comptes, voire complètement originaux.
Il existe différentes techniques pour résoudre ce problème ainsi que d’autres problèmes liés aux mots de passe. L'un des plus simples consiste à utiliser un gestionnaire de mots de passe comme KeePass ou LastPass. Avec un gestionnaire de mots de passe, tout ce dont vous devez vous souvenir est un seul mot de passe principal . Ceci est utilisé pour déverrouiller l'application, qui peut être utilisée à la fois pour générer et stocker des mots de passe uniques et sécurisés pour chacun de vos comptes.
Configurer un gestionnaire de mots de passe et modifier tous vos mots de passe peut demander un certain effort au début, mais une fois que tout est prêt, il offre une excellente sécurité contre le credential stuffing et autres attaques.
Si vous insistez pour utiliser des mots de passe identiques ou similaires pour chacun de vos comptes malgré l'avertissement, considérez que ce n'est qu'une question de temps avant que vous ne soyez victime de l'une de ces attaques.
Soyez conscient du moment où vos données ont été violées
Vous devez également vous tenir au courant des dernières violations de données et modifier les mots de passe de tout compte affecté, ainsi que de tout autre compte utilisant le même mot de passe (encore une fois, ne faites pas cela). Suivre les dernières nouvelles sur les violations de données est un bon début, mais c'est encore mieux de visiter ai-je été pwned . Il s'agit d'une base de données créée par Troy Hunt, un chercheur en sécurité qui a collecté des informations sur des violations connues du public.
La base de données vous permet recherchez avec votre email ou votre mot de passe pour voir s'il a été impliqué dans une violation . Vous pouvez également vous inscrire pour recevoir une alerte par e-mail si vos données sont impliquées dans une violation récemment découverte. Si vous essayez la fonction de recherche du site Web, il y a de fortes chances que vos coordonnées apparaissent au moins une fois. Si tel est le cas, vous devez immédiatement modifier le mot de passe du compte.
Si vous avez utilisé ce mot de passe pour plusieurs comptes, il doit alors être modifié sur chacun d'entre eux afin de vous protéger contre le credential stuffing. Comme nous l'avons mentionné ci-dessus, le moyen le plus simple d'administrer cela consiste à utiliser un gestionnaire de mots de passe.
Si vous avez été victime d'une violation de données, vous pouvez envisager souscrire à des services de surveillance du crédit et de protection contre le vol d’identité . Un service de surveillance vous informera de toute activité suspecte, tandis qu'une protection contre le vol d'identité vous assurera contre les pertes.
Les entreprises victimes d’une violation offrent fréquemment gratuitement un an de ces services à leurs clients concernés. Si vous êtes victime et que l’entreprise responsable propose un de ces programmes, vous devrez généralement vous inscrire au préalable. Cela vous offrira une protection supplémentaire, mais assurez-vous de lire les petits caractères pour vérifier ce pour quoi vous êtes réellement couvert.
Sinon, vous pouvez vous abonner vous-même à l’un de ces services, même s’ils peuvent vous coûter 20 ou 30 $ par mois. Alternativement, vous pouvez surveiller vos propres rapports de crédit pour détecter toute activité suspecte.
Authentification à deux facteurs
Une autre mesure de protection clé consiste à utiliser l'authentification à deux facteurs la mesure du possible. Lorsque des mécanismes à deux facteurs sont en place, les pirates informatiques auront besoin de plus que votre nom d’utilisateur et votre mot de passe pour prendre le contrôle de votre compte. Ils devront également passer la deuxième mesure d'authentification.
Ceux-ci peuvent inclure des applications mobiles comme Google Authenticator, jetons de sécurité physiques et entrées biométriques . L’authentification par SMS et par e-mail est également un type d’authentification à deux facteurs populaire, mais elle est beaucoup moins sécurisée que les alternatives et ne doit être choisie que si les autres options ne sont pas disponibles.
L’authentification à deux facteurs n’est pas infaillible. Les attaquants peuvent voler votre jeton de sécurité ou intercepter les messages SMS, mais cela est bien plus difficile que d’accéder à un compte qui n’est pas protégé par ces mesures.
Dans l’écrasante majorité des cas, les pirates ne prendront pas la peine d’essayer de s’emparer de votre compte s’ils se heurtent à une authentification à deux facteurs. Ils passeront simplement à une autre cible dont les défenses sont plus faibles.
Minimiser les risques de credential stuffing pour les organisations
Les organisations sont confrontées à deux menaces directes liées au credential stuffing. La première est qu’il peut être utilisé pour accéder à leurs systèmes et lancer d’autres attaques . Il s'agit notamment des violations de données comme dans certains des exemples ci-dessus, ainsi que des attaques de ransomware ou du vol de propriété intellectuelle.
L'autre menace majeure est que les clients touchés par le credential stuffing peut blâmer une organisation , même si la véritable cause est une violation de données d'un tiers et du client suite à de mauvaises pratiques de sécurité des mots de passe.
Même si cela ne semble pas relever de la responsabilité d’une organisation, les conséquences négatives potentielles obligent les entreprises à faire tout ce qu’elles peuvent pour essayer de protéger leurs clients dans cette situation.
Sensibilisation et éducation
L’habitude omniprésente de réutilisation des mots de passe rend les attaques de credential stuffing si efficaces. Pour empêcher les utilisateurs d'utiliser encore et encore le même mot de passe, les organisations doivent faire comprendre à leurs employés les dangers de la réutilisation des mots de passe et du bourrage des informations d’identification. .
Il ne suffit pas de dire aux employés qu’ils ont besoin de mots de passe forts et uniques. Les gens ont tendance à ne pas écouter s’ils ne comprennent pas pourquoi quelque chose est important. Dites à vos employés à quoi peut conduire la réutilisation des mots de passe et donnez-leur des exemples concrets qui montrent les répercussions néfastes.
Votre organisation devrait également sensibiliser ses employés aux techniques alternatives de mots de passe . Dire aux gens de ne pas faire quelque chose sans leur donner d’autres options est voué à mal se terminer. Au lieu de cela, votre entreprise devrait former ses employés à l'utilisation des gestionnaires de mots de passe ou à d'autres pratiques efficaces d'administration des mots de passe.
Il est particulièrement important de souligner ces risques aux employés qui disposent d’un accès privilégié. Les administrateurs et autres personnes clés ont accès à une gamme plus large de systèmes de votre entreprise. Si leurs comptes sont piratés par des pirates, cela peut causer encore plus de dégâts que si d’autres comptes sont accédés par des pirates. C’est pourquoi ces utilisateurs font courir un risque encore plus grand à l’entreprise s’ils réutilisent leurs mots de passe.
Contrôle d'accès
Il est difficile d’éliminer complètement la réutilisation des mots de passe, car une entreprise ne peut pas savoir si un employé a utilisé le même mot de passe ailleurs. Même si l’éducation contribuera grandement à minimiser les risques de bourrage de titres de compétences, il est également important de limiter les dégâts potentiels cela pourrait venir d’employés obstinés.
Les organisations devraient suivre le principe du moindre privilège . Cela signifie que le personnel n’a accès qu’aux systèmes et aux ressources dont il a besoin pour accomplir efficacement son travail, rien de plus. Si le rôle d’un employé change, ses privilèges d’accès devraient également changer. Ils devraient avoir accès à toutes les nouvelles ressources dont ils ont besoin et être limités à celles dont ils n'ont plus besoin.
Si une entreprise suit attentivement ce principe, cela contribuera à limiter les dommages potentiels qu’un attaquant pourrait causer. Si un attaquant parvient à entrer, son accès sera considérablement réduit par rapport à une entreprise qui ne suivrait pas le principe. Enfermer l’attaquant peut soit empêcher les violations de données, soit les rendre beaucoup moins dommageables.
Authentification à deux facteurs
La mise en œuvre de l’authentification à deux facteurs rend beaucoup plus difficile la prise de contrôle d’un compte par les attaquants. Se référer au Authentification à deux facteurs section ci-dessus, sous Minimiser les risques de « credential stuffing » pour les individus pour plus de détails.
Surveillance et action rapide
Les entreprises doivent faire plus que simplement protéger leurs comptes internes contre le piratage des informations d’identification. Ils doivent également faire de leur mieux pour protéger et soutenir les utilisateurs victimes de credential stuffing , même si l’attaque n’est pas la faute de l’organisation. Ces malentendus peuvent néanmoins engendrer une mauvaise presse. Les entreprises doivent donc gérer ces situations avec le plus grand soin possible.
Les entreprises ont besoin de systèmes de surveillance en place pour les aider à détecter les attaques de credential stuffing à grande échelle. S’ils constatent des pics soudains de tentatives de connexion ou d’autres activités inhabituelles, ils doivent tenter de bloquer toutes les adresses IP suspectes autant que possible. La mise en œuvre de CAPTCHA peut également contribuer à limiter ces attaques.
Si une organisation détecte un accès non autorisé, elle doit verrouiller temporairement les comptes et réinitialiser les mots de passe . Il est important d’expliquer soigneusement le problème aux personnes concernées et de leur permettre de créer facilement un nouveau mot de passe et de réactiver leur compte.
Si le problème n’est pas expliqué clairement et simplement, les utilisateurs peuvent finir par croire que l’entreprise a subi une violation ou qu’elle n’a pas correctement sécurisé leur compte.
La détection des attaques de credential stuffing à petite échelle peut s’avérer beaucoup plus difficile, car elles ne provoquent pas les mêmes pics d’activité des comptes. Si une organisation dispose de mécanismes de surveillance efficaces mais n’a pas pu arrêter une attaque de credential stuffing, elle doit alors être prudente dans la manière dont elle gère la situation.
Même si l’attaque a pu être provoquée par la réutilisation du mot de passe du client et que l’entreprise n’a pas pris de mesures raisonnables pour l’empêcher, il est facile pour le client de mal comprendre la situation et de blâmer l’organisation.
Si une entreprise veut sortir indemne de cette situation, il peut être préférable d'offrir une surveillance gratuite du crédit et une protection contre le vol d'identité à ceux qui ont été concernés, comme TurboImpôt l'a fait dans l'exemple ci-dessus. Sinon, ils risquent de se retrouver face à une presse négative injuste, tout comme Deliveroo.
Les organisations ont besoin d’une sécurité complète
En plus des menaces mentionnées ci-dessus, les organisations sont également vulnérables aux violations de données qui rendent possibles les attaques de credential stuffing. Tant pour leurs propres intérêts (les violations de données peuvent être extrêmement coûteuses) que pour ceux de la sécurité mondiale, les entreprises devraient suivre les meilleures pratiques de sécurité pour minimiser les risques de subir une violation majeure.
En plus des pratiques de sécurité évoquées ci-dessus, les organisations doivent également :
- Hachez et salez les mots de passe de manière appropriée – Si une entreprise stocke les mots de passe sous forme de texte brut, toute personne pouvant accéder à la base de données pourra reprendre les comptes ou utiliser les mots de passe dans des attaques de credential stuffing contre d’autres plateformes. L'alternative sécurisée consiste à stocker uniquement le mot de passe hacher pour vérification. Un sel (essentiellement un nombre aléatoire) doit être ajouté au préalable pour se protéger contre les attaques de la table arc-en-ciel. Suivre attentivement ces pratiques peut limiter considérablement les coûts d’une violation de données : si les mots de passe volés ont été hachés, les entreprises n’auront peut-être pas à en informer les personnes concernées ou les autorités.
- Former les employés – Les employés constituent l’un des maillons les plus faibles en matière de cybersécurité organisationnelle. Que ce soit par ignorance ou par erreur humaine, ils sont responsables d’un pourcentage important d’attaques. Les entreprises doivent offrir à leurs employés une formation complète en matière de cybersécurité, adaptée aux risques qu’ils peuvent introduire dans l’entreprise. Formation anti-hameçonnage est l'un des éléments les plus importants.
- Mettre à jour le logiciel dès que possible – La mise à jour n’introduit pas seulement de nouvelles fonctionnalités. Les développeurs l'utilisent également pour corriger les vulnérabilités découvertes. Les organisations qui utilisent d'anciennes versions de logiciels laissent essentiellement leurs portes ouvertes et invitent les pirates informatiques à entrer. La solution la plus simple consiste à activer les mises à jour automatiques autant que possible, afin que les dernières versions soient installées sans problème.
Si une organisation découvre une violation, il est important de réagir rapidement et prudemment. La première étape consiste à contenir la brèche, puis à l'analyser pour comprendre qui et ce qui a été affecté, ainsi que la gravité .
Selon les circonstances, les entreprises peuvent ou non devoir signaler la violation. Si tel est le cas, il est important d’agir de manière responsable et de le faire le plus tôt possible. Retarder la notification peut entraîner des sanctions légales, tout comme celles infligées à Uber dans l'exemple ci-dessus.
Tenter de dissimuler une brèche fait également le jeu des attaquants. . Cela leur permet d’abuser des informations d’identification et de maximiser leurs profits avant même que les utilisateurs ne se rendent compte que leurs données ont été impliquées dans une violation.
Si une entreprise souhaite sérieusement protéger ses utilisateurs et limiter les effets d’une violation, elle doit alors les en informer le plus rapidement possible et leur demander de changer leurs mots de passe. Offrir une surveillance du crédit et une protection contre le vol d’identité peut également contribuer à faciliter les choses.
Il est également important de les alerter des dangers du credential stuffing, afin qu’ils sachent qu’il faut changer les mots de passe des autres comptes si nécessaire.
Si les utilisateurs victimes d’une violation et les entreprises attaquées commencent tous à prendre au sérieux le credential stuffing, ils peuvent contribuer à minimiser la menace, ainsi que les énormes pertes qu’elle finit par causer chaque année.
Voir également: