Cybersécurité

Définition Credential Stuffing

Qu’est-ce que le Credential Stuffing ? | Credential Stuffing contre les attaques Brute Force

Lors d’une attaque DDoS, les collections d’adresses de connexion volées d’un service sont utilisées pour tenter de s’introduire dans les comptes de divers autres services c’est une pratique dites de Creditential Stuffing.

Qu’est-ce que le « credential stuffing » ?

Le bourrage d’identifiant est une cyber-attaque dans laquelle les identifiants obtenus suite à une data breach sur un service sont utilisés pour tenter de se connecter à un autre service non lié.

Par exemple, un attaquant peut prendre une liste de noms d’utilisateur et de mots de passe obtenus lors d’une intrusion dans un grand magasin et utiliser les mêmes identifiants de connexion pour essayer de se connecter au site d’une banque nationale. L’attaquant espère qu’une partie des clients de ces grands magasins ont également un compte dans cette banque et qu’ils réutilisent les mêmes noms d’utilisateur et mots de passe pour les deux services.

Depuis 2019, le bourrage de cartes d’identité est en augmentation grâce à l’échange et à la vente au marché noir de listes massives de cartes d’identité piratées. La prolifération de ces listes, combinée aux progrès des outils de bourrage de références qui utilisent des robots pour contourner les protections traditionnelles des connexions, ont fait du bourrage de références un vecteur d’attaque populaire.

Qu’est-ce qui rend le bourrage de certificats efficace ?

Statistiquement parlant, les attaques par bourrage de titres de compétences ont un taux de réussite très faible. Selon de nombreuses estimations, ce taux est d’environ 0,1 %, ce qui signifie que pour chaque millier de comptes qu’un attaquant tente de cracker, il ne réussira qu’une fois environ. Le volume même des collections de justificatifs d’identité échangées par les attaquants fait que le bourrage de justificatifs en vaut la peine, malgré le faible taux de réussite.

Ces collections contiennent des millions et, dans certains cas, des milliards d’identifiants de connexion. Si un attaquant dispose d’un million d’ensembles d’identifiants, cela pourrait donner environ 1 000 comptes crackés avec succès. Si même un petit pourcentage des comptes craqués donne des données rentables (souvent sous la forme de numéros de carte de crédit ou de données sensibles pouvant être utilisées dans des attaques de phishing), alors l’attaque en vaut la peine. De plus, l’attaquant peut répéter le processus en utilisant les mêmes séries de données d’identification sur de nombreux services différents.

Les progrès de la technologie des robots font également de l’empaquetage de justificatifs d’identité une attaque viable. Les dispositifs de sécurité intégrés aux formulaires de connexion aux applications web comprennent souvent des délais délibérés et le bannissement des adresses IP des utilisateurs qui ont répété des tentatives de connexion infructueuses. Les logiciels modernes de bourrage d’adresse contournent ces protections en utilisant des robots pour tenter simultanément plusieurs connexions qui semblent provenir de différents types d’appareils et d’adresses IP différentes. L’objectif du bot malveillant est de rendre les tentatives de connexion de l’attaquant indiscernables du trafic de connexion typique, et il est très efficace.

Souvent, la seule indication que l’entreprise victime est attaquée est l’augmentation du volume global des tentatives de connexion. Même dans ce cas, l’entreprise victime aura du mal à mettre fin à ces tentatives sans nuire à la capacité des utilisateurs légitimes de se connecter au service.

La principale raison pour laquelle les attaques par bourrage de cartes sont efficaces est que les gens réutilisent leurs mots de passe. Des études suggèrent qu’une majorité d’utilisateurs, selon certaines estimations jusqu’à 85%, réutilisent les mêmes identifiants de connexion pour plusieurs services. Tant que cette pratique se poursuivra, le bourrage de mots de passe restera fructueux.

Quelle est la différence entre le bourrage de mots de passe et les attaques Brute Force ?
L’OWASP classe le bourrage de cartes dans la catégorie des attaques par force brute. Mais, à proprement parler, le bourrage de titres est très différent des attaques de force brute traditionnelles. Les attaques Brute Force tentent de deviner des mots de passe sans contexte ni indices, en utilisant des caractères au hasard parfois combinés avec des suggestions de mots de passe courants. Le bourrage de mots de passe utilise des données exposées, ce qui réduit considérablement le nombre de réponses correctes possibles.

Une bonne défense contre les attaques Brute Force est un mot de passe fort composé de plusieurs caractères et comprenant des lettres majuscules, des chiffres et des caractères spéciaux. Mais un mot de passe fort ne protège pas contre le bourrage de mots de passe. Peu importe la force d’un mot de passe : s’il est partagé entre différents comptes, le bourrage de mots de passe peut le compromettre.

Comment éviter le bourrage de mots de passe

Comment les utilisateurs peuvent empêcher le bourrage de cotes
Du point de vue de l’utilisateur, il est assez simple de se défendre contre le bourrage de papier. Les utilisateurs doivent toujours utiliser des mots de passe uniques pour chaque service différent (un moyen facile d’y parvenir est d’utiliser un gestionnaire de mots de passe). Si un utilisateur utilise toujours des mots de passe uniques, le bourrage de cotes ne fonctionnera pas contre ses comptes. Comme mesure de sécurité supplémentaire, les utilisateurs sont encouragés à toujours activer l’authentification à deux facteurs lorsqu’elle est disponible.

Comment les entreprises peuvent-elles empêcher le bourrage de cotes ?

Mettre fin au bourrage de papier est un défi plus complexe pour les entreprises qui proposent des services d’authentification. Le bourrage de cotes est le résultat de data breach dans d’autres entreprises. Une entreprise victime d’une attaque par bourrage de références n’a pas nécessairement vu sa sécurité compromise.

Une entreprise peut suggérer à ses utilisateurs de fournir des mots de passe uniques, mais ne peut pas faire appliquer cette règle de manière efficace. Certaines applications comparent le mot de passe fourni à une base de données de mots de passe connus comme étant compromis avant d’accepter le mot de passe comme mesure contre le bourrage de cotes, mais cette méthode n’est pas infaillible – l’utilisateur pourrait réutiliser un mot de passe d’un service qui n’a pas encore été violé.

L’ajout d’éléments de sécurité de connexion peut contribuer à limiter le bourrage de cotes. L’activation de fonctionnalités telles que l’authentification à deux facteurs et l’obligation pour les utilisateurs de remplir des captchas lors de la connexion à ces deux services contribuent également à arrêter les robots malveillants. Bien que ces deux fonctionnalités gênent les utilisateurs, beaucoup s’accordent à dire que la réduction de la menace de sécurité en vaut la peine.

La protection la plus forte contre le bourrage de cotes est un service de gestion des robots. La gestion des robots utilise la limitation de débit combinée à une base de données de réputation IP pour empêcher les robots malveillants de faire des tentatives de connexion sans avoir d’impact sur les connexions légitimes. Le service Cloudflare Bot Management, qui collecte des données sur 425 milliards de demandes acheminées chaque jour par le réseau Cloudflare, peut identifier et arrêter les robots de bourrage de cotes avec une très grande précision.

Ecrire un commentaire