Credential stuffing : dans les coulisses d’une attaque massivement distribuée

L’account takeover (l’usurpation de comptes d’utilisateur) est un type de menace automatisée où les mauvais acteurs compromettent les comptes en ligne, généralement en obtenant l’accès via des techniques de credential stuffing ou credential cracking.

En vous renseignant sur les menaces automatisées de credential stuffing, de credential cracking et d’usurpation de compte, vous pouvez vous protéger plus efficacement contre ces attaques de robots automatisés, qui nuisent à la fois à votre entreprise et à vos clients.

Dans cet article, vous découvrirez comment les criminels utilisent le credential stuffing et le credential cracking automatisés pour effectuer des attaques d’usurpation des comptes par le biais de bots ; qui sont les personnes derrière ces attaques et leurs motivations ; de quelle manière se déroule l’attaque ; quelles sont les stratégies de défense ; et comment DataDome vous protège contre 100 % des menaces OWASP automatisées, telles que le credential stuffing et le credential cracking, et empêche les attaques d’usurpation des comptes.

Dans cet article :

1. À propos du credential stuffing et du credential cracking
2. Qui sont les personnes derrière le credential stuffing et le credential cracking, et quelles sont leurs motivations ?
3. Anatomie d’une attaque d’usurpation de comptes
4. Les conséquences potentielles de ces attaques
5. Stratégies de défense communes contre le credential stuffing et le credential cracking 
6. Comment DataDome protège-t-il contre le credential stuffing/cracking et l’usurpation de comptes ?

À propos du credential stuffing et du credential cracking, menaces OWASP automatisées par bots (OAT-007, OAT-008)

Définition

Le credential stuffing (OAT-008) est une menace automatisée qui utilise des robots malveillants pour « bourrer » des noms d’utilisateur et des mots de passe connus (provenant généralement de fuites de données d’autres sites) dans les pages de connexion en ligne pour accéder aux comptes des utilisateurs.

Le credential cracking (OAT-007) est une tentative malveillante de trouver des identifiants de connexion utilisables en utilisant des outils automatisés de craquage de mots de passe par force brute, testant un grand nombre de valeurs différentes pour les noms d’utilisateur et mots de passe.

Le credential stuffing et le credential cracking sont les principales méthodes utilisées par les pirates informatiques pour usurper un compte, autrement dit pour accéder illégalement à un compte utilisateur dans le but de frauder.

Évolution de la menace

En 2014, les premiers signes d’attaques de credential stuffing ont été identifiés lorsque des pirates sur le dark web ont commencé à offrir des services pour monétiser des informations d’identification de compte compromises. Selon Recorded Future, les premiers outils de credential stuffing coûtaient entre 50 $ et 250 $ et pouvaient cibler une entreprise particulière.

Dans un premier temps, l’outil effectuait le credential cracking pour valider les combinaisons d’adresses électroniques et de mots de passe. Les pirates informatiques devaient alors dépenser des fonds supplémentaires pour acheter des outils avancés de vérification des comptes afin de recueillir des informations sur le compte compromis.

Aujourd’hui, les pirates peuvent se lancer dans des attaques de credential stuffing en investissant seulement 500 $ dans des logiciels de credential stuffing (souvent appelés des logiciels de « vérification de compte »), dans des accès à des listes combinées d’adresses e-mail et de mots de passe, et dans des services de proxy publics et privés pour brouiller les pistes. Les outils automatisés de credential cracking et de credential stuffing sont conçus pour vérifier des centaines de milliers de combinaisons d’informations d’identification sur plusieurs sites Web.

Statistiques

Infractions célèbres

Début 2019, Dunkin’ Donuts a annoncé avoir été victime d’une attaque de credential stuffing affectant 1 200 de leurs 10 millions de clients. Les cybercriminels ont utilisé les informations d’identification récupérées lors de violations de données antérieures pour accéder aux comptes de fidélité DD Perks, qui contenaient les noms des membres, leurs adresses électroniques, un numéro de compte DD Perks à 16 chiffres et un code QR DD Perks. Le but des pirates dans cette attaque était de revendre l’accès aux comptes compromis et aux points de récompenses stockés dans ces mêmes comptes.

Quelques mois plus tard, le déploiement tant attendu du service de streaming Disney+ a été marqué par des perturbations, de nombreux utilisateurs ayant tenté sans succès d’accéder à leur compte. La source du problème ? Le credential stuffing. Quelques heures seulement après le lancement, des identifiants de compte Disney+ ont été mis en vente sur des forums de hackers. En testant sur le site de streaming Disney+ des volumes massifs de noms d’utilisateur et de mots de passe précédemment volés, les pirates pouvaient facilement identifier des identifiants valides.

Qui sont les personnes derrière le credential stuffing et le credential cracking, et quelles sont leurs motivations ?

L’objectif des procédés de credential stuffing et de credential cracking est de monétiser les comptes constitués en accédant aux comptes bancaires et cartes de crédit associés, et en exploitant des données personnelles pour commettre un vol d’identité.

La forme la plus rentable d’usurpation de comptes est l’utilisation frauduleuse d’une carte de crédit. La fraude aux cartes bancaires (carding) est une pratique répandue qui consiste à utiliser des numéros de carte de crédit volés pour effectuer des achats à l’aide de faux comptes.

Une attaque d’usurpation de comptes peut être utilisée pour voler les données privées des clients, qui peuvent ensuite être revendues sur le darknet ou divulguées en ligne dans le but de nuire.

Les organisations principalement ciblées par les attaques de credential stuffing appartiennent, entre autres, aux secteurs du commerce électronique, de la finance, des réseaux sociaux, des technologies de l’information, de la restauration, de la vente au détail et du voyage.

Anatomie d’une attaque d’usurpation de comptes

Pour qu’une tentative d’usurpation de comptes vaille la peine, il est nécessaire que les auteurs de menaces essaient un grand nombre d’informations d’identification le plus rapidement possible : un travail parfait pour un bot.

Le credential stuffing repose sur le problème répandu de la réutilisation des mots de passe pour avoir accès aux comptes en ligne. Comme le révèlent les études, 81 % des individus réutilisent le même mot de passe ou un mot de passe similaire pour plusieurs comptes. Autant dire qu’il est assez simple pour les auteurs de menaces malveillants, lorsqu’ils disposent d’une base de données divulguée, de trouver des combinaisons d’identifiant et de mot de passe valables.

Les hackers utilisent des robots pour automatiser les tentatives de connexion avec de gros volumes d’informations d’identification volées.

Figure 1 – OWASP, OAT-008 Processus d’attaque par credential stuffing, menace automatisée par bot

En ce qui concerne le credential cracking, des mots de passe faibles permettent aux acteurs malveillants de pénétrer dans les comptes des entreprises et des clients en utilisant une technique de force brute.

Figure 2 – OWASP, OAT-007 Processus d’attaque par credential cracking, menace automatisée par bot

Dès que les cybercriminels parviennent à trouver des informations d’identification valides, ils peuvent prendre le contrôle des comptes en ligne : l’usurpation des comptes (account takeover). Une fois connectés, ils peuvent effectuer des transactions non autorisées, à l’insu des victimes, qui échappent souvent à la détection pendant de longues périodes.

En savoir plus: Credential stuffing : dans les coulisses d’une attaque massivement distribuée

Les conséquences potentielles de ce type d’attaque

Même quand les cybercriminels ne parviennent pas à usurper les comptes, les attaques de credential stuffing et credential cracking peuvent entraîner des pics de trafic importants, avec pour conséquence des performances médiocres du site, voire de l’indisponibilité.

L’usurpation de comptes constitue une menace sérieuse pour les entreprises de commerce électronique et de petites annonces, car il est :

• difficile à détecter dans la mesure où les personnes mal intentionnées se connectent avec des informations d’identification légitimes
• simple pour les acteurs malveillants d’automatiser et de répliquer le processus de connexion contre des sites cibles
• facile à exécuter par quiconque, grâce à des listes d’informations d’identification publiques provenant de fuites de données, et grâce à des outils d’exploit facilement accessibles

Les attaques d’usurpation de comptes nuisent à la réputation d’une entreprise, font chuter les ventes, et peuvent entraîner une lourde sanction : jusqu’à 4 pour cent du chiffre d’affaires annuel global en cas de violation du Règlement général sur la protection des données (RGPD) de l’UE.

Les attaques d’usurpation des comptes sont parmi les menaces les plus importantes en matière de cybersécurité auxquelles les entreprises et les consommateurs en ligne sont actuellement confrontés. Selon Javelin Strategy & Research, les incidents et les pertes liés à la prise de contrôle de comptes en 2018 sont restés plus élevés qu’au cours des années précédentes, avec des coûts financiers totaux estimés à 4 milliards de dollars.

Stratégies de défense communes contre le credential stuffing et le credential cracking

Les solutions de sécurité traditionnelles ont tendance à s’appuyer fortement sur la réputation des IP, en partant de l’hypothèse qu’une activité malveillante provenant d’une adresse IP signifie que toute activité à partir de cette adresse IP est susceptible d’être hostile. Aujourd’hui, les auteurs de menaces répartissent les robots via des adresses IP résidentielles, qui bénéficient d’une excellente réputation et où les requêtes qu’ils envoient ne peuvent pas être distinguées de celles générées par les utilisateurs ordinaires. Les approches qui reposent sur les IP ne sont donc plus efficaces.

Des méthodes de protection supplémentaires peuvent contribuer à protéger contre le credential stuffing et le cracking, à savoir :

• Mettre à disposition l’option d’authentification à facteurs multiples (AFM) pour les comptes
• Encourager l’utilisation de gestionnaires de mots de passe pour la génération de mots de passe uniques et forts
• Surveiller le trafic Web d’une même adresse IP avec différents sous-réseaux (signe d’un service proxy)
• Enquêter sur les activités cybercriminelles clandestines liées à des stratagèmes visant votre entreprise
• Former les collaborateurs à se prémunir contre les attaques automatisées de bots visant les sociétés de commerce électronique

Cependant, pour se protéger efficacement contre le credential stuffing, le credential cracking et l’usurpation des comptes, il est primordial de disposer d’une solution de sécurité dotée de capacités de détection et de protection en temps réel.

Une solution de détection de bots efficace sera capable d’identifier rapidement le comportement des visiteurs qui montrent des signes de tentatives de credential cracking ou credential stuffing. Pour identifier correctement le trafic frauduleux et bloquer les tentatives d’usurpation des comptes, une solution de détection de robots doit analyser à la fois les données techniques et les données comportementales.

Parmi les données techniques, on peut retenir des informations telles que l’agent utilisateur, le propriétaire de l’adresse IP et la géolocalisation. Les signes comportementaux de l’activité des robots peuvent être par exemple le nombre de hits par adresse IP, la vitesse d’exploration, la fréquence d’exploration, et bien d’autres.

La solution de détection des robots peut alors soit déclencher des alertes, soit bloquer automatiquement les bots malveillants avant que vos comptes utilisateurs ne soient compromis. Pendant ce processus, l’expérience utilisateur des véritables visiteurs humains ne doit pas être perturbée.

Comment DataDome protège-t-il contre le credential stuffing, le credential cracking et l’account takeover ?

Comme les robots et les humains utilisent désormais les mêmes navigateurs et adresses IP, la protection anti-bot doit être un processus automatisé et en temps réel. Les humains ne peuvent plus agir assez vite pour égaler les prouesses techniques des robots, mais l’intelligence artificielle le peut. Grâce au suivi des événements en temps réel et à la détection comportementale, DataDome peut détourner les attaques, même les plus sophistiquées.

Le moteur de détection des bots de DataDome compare chaque visite de votre site Web avec une base de données massive de modèles en mémoire et utilise un mélange d’intelligence artificielle et d’apprentissage machine pour décider en moins de 2 millisecondes s’il faut autoriser ou non l’accès à vos pages. L’algorithme de DataDome analyse quotidiennement des milliards d’événements et est mis à jour en permanence pour identifier les menaces connues et les menaces zero-day.

DataDome est la seule solution de protection anti-bot fournie en tant que service. Elle se déploie en quelques minutes sur n’importe quelle infrastructure Web, est unique en termes de vitesse de détection et de précision, et fonctionne en pilotage automatique. Vous recevrez des notifications en temps réel lorsque votre site est sous attaque, mais vous n’avez rien à faire. DataDome ne nécessite aucune intervention quotidienne de la part de vos équipes.
Êtes-vous prêt à vous défendre contre les attaques de credential stuffing en quelques minutes ? Commencez votre essai gratuit ou contactez-nous pour demander une démo.