Définition Credential Stuffing

En 2021, la CNIL a reçu environ 5000 notifications de violation de données de la part d’entreprises et d’organisations. Cette fuite de données impacte potentiellement 5 millions de comptes utilisateurs d’applications ou de sites web. Les informations obtenues par les cybercriminels peuvent être revendues ou utilisées pour mener d’autres attaques.

Le credential stuffing (bourrage d’identifiants) représente l’une des cyberattaques construites à partir de données d’identification volées. Avec celles-ci, les cybercriminels peuvent se connecter à d’autres services ou sites pour réaliser des actions frauduleuses. Ce type d’attaques souligne la sécurité défaillante de l’authentification des utilisateurs.

Qu’est-ce que le credential stuffing ?

Le credential stuffing, c’est une cyberattaque simple à déployer et en plein essor. Elle combine le vol, la vente et l’utilisation des données.

Le principe des attaques par credential stuffing

Pour mener une attaque par credential stuffing, l’attaquant doit se procurer une liste d’identifiants volés. D’une part, il peut les collecter lui-même grâce à une cyberattaque de type adware. D’autre part, il peut les acheter sans difficulté sur le dark web. Sa stratégie repose alors sur la forte probabilité que les internautes utilisent les mêmes identifiants pour leurs différents comptes.

Ensuite, avec des outils d’automatisation, le hacker réalise des centaines ou des milliers de tentatives de connexion sur des sites ou sur des applications web. Les sites bancaires sont bien sûr des cibles privilégiées. Enfin, les connexions réussies lui permettent de réaliser des escroqueries et du vol d’informations ou de préparer de futures attaques informatiques comme le ransomware.

Les causes de l’essor du credential stuffing par les cybercriminels

Le credential stuffing gagne en popularité chez les hackers. Il n’utilise pas de malware potentiellement détectable. Il utilise les vrais identifiants des utilisateurs. C’est une usurpation d’identité. Et l’explosion du tout digital facilite son émergence.

Des données de connexion disponibles en grand nombre

La disponibilité d’identifiants volés augmente avec le nombre croissant d’utilisateurs du web. Pour rappel, 92,6 % de la population française utilise internet en 2023 (étude We Are Social et Meltwater). Avec la violation de données, les hackers disposent donc de ressources infinies. 

Des identifiants réutilisables pour différents comptes

En novembre 2023, le gestionnaire de mot de passe NordPass révèle la faiblesse des identifiants utilisés par les Français. Parmi les mots de passe les plus utilisés, 123456 et password figurent en tête de liste. De plus, 60 % des utilisateurs choisissent un mot de passe commun pour leurs différents comptes (étude TechRadar, 2022).

L’utilisation de robots facilite les tentatives de connexion

Le bourrage d’identifiants s’effectue désormais avec l’aide de robots (bots). Ces derniers permettent à l’attaquant de tenter de se connecter à de multiples comptes en quelques secondes avec les mêmes identifiants : identité utilisateur et mot de passe. Les outils ou les bots sont facilement accessibles sur le web : Sentry MBA ou Account Hitman en sont deux exemples.

Les risques et les conséquences du credential stuffing

L’usurpation d’identité permet aux pirates de mener plusieurs objectifs malveillants contre les entreprises ou leurs clients.

Le piratage des comptes fidélité, un exemple courant de piratage par credential stuffing

Les comptes fidélité des clients représentent une cible intéressante pour les pirates. Grâce aux identifiants volés ou achetés, les hackers utilisent le bourrage d’identifiants pour pénétrer les plateformes de comptes fidélité d’enseignes comme McDonald’s, Intermarché ou Carrefour. Le taux de réussite de 1 % semble faible a priori. Mais sur un million d’identifiants, cela signifie 1000 comptes piratés contenant des avantages en argent ou en nature. 

Clients : les conséquences de l’utilisation de leurs identifiants volés

Pour les clients, les conséquences relèvent d’une part de l’escroquerie réalisée sur des sites web : achat effectué ou action réalisée sans leur consentement. Et d’autre part, leurs données d’authentification (identité, mot de passe) et leurs coordonnées bancaires peuvent être revendues sur le dark web pour une future cyberattaque.

Entreprises : des attaques aux multiples retombées pour leur sécurité et pour leur santé financière

Selon le Ponemon Institute, le credential stuffing coûte entre 6 et 54 millions de dollars par an aux entreprises. Ce montant varie selon l’ampleur de l’attaque. Il comprend les pertes financières liées à la fraude, à l’interruption des services et à la perte de clients.

De plus, les entreprises victimes de piratage souffrent d’une réputation dégradée auprès de leurs clients et de leurs partenaires (actionnaires, investisseurs). Enfin, avec les identifiants compromis, les cyberattaquants peuvent mener d’autres cyberattaques (ransomware) dans une entreprise. Ils peuvent revendre également les données collectées.

Comment les attaquants profitent-ils de l’accès aux comptes en ligne ?

Le credential stuffing ne représente pas une cyberattaque sophistiquée. Mais, il est terriblement efficace.

L’utilisateur, le maillon faible de la sécurité des comptes

Selon IBM, 95 % des attaques informatiques proviennent d’une faille humaine. Le constructeur informatique souligne le manque de culture en sécurité informatique. Le choix d’un mot de passe commun à tous les services représente la plus grande vulnérabilité. La négligence rend également l’utilisateur fragile face aux techniques d’ingénierie sociale (phishing, smishing).

Enfin, le télétravail efface la frontière entre le monde de l’entreprise et la sphère privée. Ainsi, un utilisateur aura tendance par facilité à choisir les mêmes identifiants pour des demandes d’authentification professionnelles et personnelles.

Le dark web, un vaste débouché pour la violation de données

Chaque année, le Dark Web Price Index révèle le prix des données d’authentification volées. Ce véritable business illégal constitue un débouché royal pour les pirates. Ces derniers peuvent à la fois acheter les données nécessaires à leurs attaques et revendre des informations sensibles après leur acte criminel. Voici quelques exemples de prix en 2020, à multiplier par le nombre d’utilisateurs piratés.

  • Carte American Express avec son code PIN : 35 dollars.
  • Informations d’une carte de paiement : entre 12 et 65 dollars selon le solde du compte bancaire.
  • Les comptes GMAIL : 156 dollars en moyenne !

 

Comment détecter le credential stuffing ?

La détection du credential suffering représente un défi pour la sécurité informatique des entreprises. Elle repose sur le repérage de l’utilisation d’identifiants volés. Mais, selon IBM (Cost of a Data Breach Report 2023), 287 jours sont nécessaires en moyenne pour repérer une violation de données. Et le délai moyen pour contenir une fuite de données s’élève à 80 jours.

Cependant, pour détecter un credential stuffing, une entreprise peut utiliser un outil de gestion de trafic. Il permet la détection d’un nombre anormal de tentatives de connexion sur un site ou une application. En particulier, il repère les anomalies de connexion : par exemple, la nuit. Ce gestionnaire de connexion détecte également la présence de bots dans le trafic entrant.

La CNIL conseille ainsi l’inspection des journaux (logs). Celle-ci peut montrer des requêtes générées automatiquement depuis des adresses IP suspectes. Elle permet de démasquer l’utilisation d’un bot par l’attaquant.

Comment se protéger contre le credential stuffing ?

La protection contre le credential stuffing résulte d’une collaboration tripartite : l’utilisateur, l’entreprise cible, l’entreprise piratée.

L’authentification : l’enjeu majeur de la sécurité des utilisateurs et des entreprises

Les mesures prioritaires pour se protéger du credential stuffing doivent cibler la sécurisation de l’identification des utilisateurs. L’authentification à facteurs multiples (MFA) représente ainsi une parade adaptée. L’utilisation d’un gestionnaire de mot de passe permet également de renforcer la sécurité des comptes. Mais, cela suppose un changement de comportement de l’utilisateur : ne plus choisir un mot de passe commun et avoir un téléphone pour s’authentifier.

La gestion des bots et les outils d’alerte de piratage

L’entreprise doit mettre en place des outils de détection contre les tentatives de connexion anormales :

  • un test CAPTCHA pour contrer les bots ;
  • un gestionnaire de trafic pour détecter les anomalies de connexion ;
  • l’identification d’empreinte d’appareil (adresse IP, navigateur) pour stopper les tentatives de connexion massives ;
  • une liste d’interdiction d’adresses IP pour invalider les connexions suspectes.

 

La communication des violations de données à la CNIL

La loi oblige désormais les entreprises victimes de violations de données, à se déclarer auprès de la CNIL dans un délai de 72 heures (article 33 du RGPD). La transparence sur les attaques de bourrage d’identifiants permet d’améliorer la lutte contre cette forme de piratage. 

Quel rôle jouent les entreprises et les fournisseurs de services en ligne dans la prévention ?

Les entreprises et les fournisseurs de service en ligne possèdent un rôle de prévention et d’information des utilisateurs. Pour les mots de passe, ils doivent induire un changement de comportement. Il s’agit d’informer sur leur politique de sécurisation des mots de passe (MFA). 

Un service piraté peut également informer les utilisateurs d’une menace sur leur compte. Cela leur permet de modifier leurs identifiants sur le site concerné et sur les sites où ils sont semblables. Enfin, il s’agit de les inciter à faire opposition sur leur carte bancaire si nécessaire.

Le credential stuffing représente donc une cybermenace très active. Sa détection reste difficile. Mais, des mesures de prévention simples peuvent freiner efficacement son champ d’action.