Linkedin

Qu’est-ce que le « Credential Stuffing » ?

Lors d’une attaque de bourrage d’adresse, les collections d’adresses de connexion volées d’un service sont utilisées pour tenter de s’introduire dans les comptes de divers autres services.

Le bourrage d’adresse est une cyber-attaque dans laquelle les adresses obtenues à partir d’une violation de données sur un service sont utilisées pour tenter de se connecter à un autre service non lié.

Par exemple, un attaquant peut prendre une liste de noms d’utilisateurs et de mots de passe obtenus lors d’une intrusion dans un grand magasin et utiliser les mêmes identifiants pour essayer de se connecter au site d’une banque nationale. L’attaquant espère qu’une partie des clients de ces grands magasins ont également un compte dans cette banque et qu’ils réutilisent les mêmes noms d’utilisateur et mots de passe pour les deux services.

Depuis 2019, le bourrage de cotes est en augmentation grâce à des listes massives de cotes falsifiées qui sont échangées et vendues sur le marché noir. La prolifération de ces listes, combinée aux progrès des outils de bourrage de comptes qui utilisent des robots pour contourner les protections traditionnelles des connexions, ont fait du bourrage de comptes un vecteur d’attaque populaire.

Qu’est-ce qui le rend efficace ?

Statistiquement parlant, les attaques par bourrage de titres ont un taux de réussite très faible. De nombreuses estimations situent ce taux à environ 0,1%, ce qui signifie que pour chaque millier de comptes qu’un attaquant tente de cracker, il réussira environ une fois. Le volume même des collections de justificatifs d’identité échangées par les attaquants fait que le bourrage de justificatifs en vaut la peine, malgré le faible taux de réussite.

Ces collections contiennent des millions et dans certains cas des milliards d’identifiants de connexion. Si un attaquant dispose d’un million d’identifiants, cela peut donner environ 1 000 comptes craqués avec succès. Si même un petit pourcentage des comptes craqués donne des données rentables (souvent sous la forme de numéros de carte de crédit ou de données sensibles pouvant être utilisées dans des attaques de phishing), alors l’attaque en vaut la peine. De plus, l’attaquant peut répéter le processus en utilisant les mêmes séries de données d’identification sur de nombreux services différents.

Les progrès de la technologie des robots font également de l’empaquetage des titres de compétences une attaque viable. Les dispositifs de sécurité intégrés dans les formulaires de connexion aux applications web comprennent souvent des délais délibérés et le bannissement des adresses IP des utilisateurs qui ont fait plusieurs tentatives de connexion infructueuses. Les logiciels modernes de bourrage d’adresse contournent ces protections en utilisant des robots pour tenter simultanément plusieurs connexions qui semblent provenir de différents types d’appareils et d’adresses IP différentes. L’objectif du bot malveillant est de rendre les tentatives de connexion de l’attaquant indiscernables du trafic de connexion typique, et il est très efficace.

Souvent, la seule indication que l’entreprise victime est attaquée est l’augmentation du volume global des tentatives de connexion. Même dans ce cas, l’entreprise victime aura du mal à mettre fin à ces tentatives sans nuire à la capacité des utilisateurs légitimes de se connecter au service.

La principale raison pour laquelle les attaques par bourrage de titres sont efficaces est que les gens réutilisent les mots de passe. Des études suggèrent qu’une majorité d’utilisateurs, selon certaines estimations jusqu’à 85%, réutilisent les mêmes identifiants de connexion pour plusieurs services. Tant que cette pratique se poursuivra, le bourrage de mots de passe restera fructueux.

Quelle est la différence entre le bourrage de citations et les attaques de force brute ?

L’OWASP classe le bourrage de cartes dans la catégorie des attaques par force brute. Mais, à proprement parler, la bourre de lettres de créance est très différente des attaques traditionnelles par la force brute. Les attaques de force brute tentent de deviner des mots de passe sans contexte ni indices, en utilisant des caractères au hasard parfois combinés avec des suggestions de mots de passe courants. Le bourrage de mots de passe utilise des données exposées, ce qui réduit considérablement le nombre de réponses correctes possibles.

Une bonne défense contre les attaques par force brute est un mot de passe fort composé de plusieurs caractères et comprenant des lettres majuscules, des chiffres et des caractères spéciaux. Mais la force du mot de passe ne protège pas contre le bourrage de papier. Peu importe la force d’un mot de passe : s’il est partagé entre différents comptes, le bourrage de mots de passe peut le compromettre.

Comment les utilisateurs peuvent-ils empêcher le bourrage de cotes ?

Du point de vue de l’utilisateur, il est assez simple de se défendre contre le bourrage de papier. Les utilisateurs doivent toujours utiliser des mots de passe uniques pour chaque service différent (un moyen facile d’y parvenir est d’utiliser un gestionnaire de mots de passe). Si un utilisateur utilise toujours des mots de passe uniques, le bourrage de cotes ne fonctionnera pas contre ses comptes. Comme mesure de sécurité supplémentaire, les utilisateurs sont encouragés à toujours activer l’authentification à deux facteurs lorsqu’elle est disponible.

Comment les entreprises peuvent-elles empêcher le bourrage de crâne ?

Mettre fin au bourrage de papier est un défi plus complexe pour les entreprises qui proposent des services d’authentification. Le bourrage de cotes est le résultat de violations de données dans d’autres entreprises. Une entreprise victime d’une attaque par bourrage de références n’a pas nécessairement vu sa sécurité compromise.

Une entreprise peut suggérer à ses utilisateurs de fournir des mots de passe uniques, mais ne peut pas faire appliquer cette règle de manière efficace. Certaines applications compareront le mot de passe soumis à une base de données de mots de passe connus comme étant compromis avant d’accepter le mot de passe comme mesure contre le bourrage de crâne, mais ce n’est pas infaillible – l’utilisateur pourrait réutiliser un mot de passe d’un service qui n’a pas encore été violé.

L’ajout de fonctions de sécurité de connexion peut contribuer à réduire le bourrage de cotes. L’activation de fonctionnalités telles que l’authentification à deux facteurs et l’obligation pour les utilisateurs de remplir des captchas lors de la connexion à ces deux systèmes contribuent également à arrêter les robots malveillants. Bien que ces deux fonctionnalités gênent les utilisateurs, beaucoup s’accordent à dire que la réduction de la menace de sécurité en vaut la peine.

Articles connexes

GAFAM
COVID-19 : Les GAFAM se renforcent alors que l’économie mondiale s’effondre
COVID-19 : Recours massif au télétravail pour les métiers de l’informatique
COVID-19 : Amazon développe des robots tueurs de virus

COMMENTAIRES

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

TESTEZ LA PERFORMANCE DIGITALE DE VOTRE SITE EN 5 MINUTES, CLIQUEZ ICI :
parcours-performance-digitale
parcours-performance-digitale
CONTACTEZ-NOUS
Une question, une campagne media à lancer ?
Vous êtes au bon endroit !
WINDOWS SERVER
VOUS AVEZ AIMÉ
Voiture autonome
3 raisons de ne pas avoir peur de la conduite autonome
Dassault_systems_lance_ecosysteme
Cloud
Analyse comparative des fournisseurs de Cloud
Intelligence Artificielle
Comment l’IA se propage à travers la Supply Chain ?
COVID-19
GAFAM

COVID-19 : Les GAFAM se renforcent alors que l’économie mondiale s’effondre

COVID-19 : Recours massif au télétravail pour les métiers de l’informatique

COVID-19 : Amazon développe des robots tueurs de virus

COVID-19 : 5 technologies pour stopper la pandémie

COVID-19 : Quel impact sur le marché de la cryptomonnaie ?

covid-19-coronavirus-marketing-825x500

COVID-19 : Le Digital Marketing est plus important que jamais

Actualité Informatique logo x05 black
Actualité Informatique, le magazine des dernières tendances informatiques.
EN SAVOIR PLUS
Linkedin

Tous droits réservés, Copyright © 2024 – 2028, Actualité Informatique.

COVID-19
GAFAM
COVID-19 : Les GAFAM se renforcent alors que l’économie mondiale s’effondre
Covid-19
COVID-19 : Recours massif au télétravail pour les métiers de l’informatique
Covid-19
COVID-19 : Amazon développe des robots tueurs de virus
Covid-19
LES + POPULAIRES
3 raisons de ne pas avoir peur de la conduite autonome
Voiture autonome
Dassault_systems_lance_ecosysteme
Analyse comparative des fournisseurs de Cloud
Cloud
Comment l’IA se propage à travers la Supply Chain ?
Intelligence Artificielle
Actualité Informatique, le magazine des dernières tendances informatiques.