Qu’est-ce que le credential harvesting ? Exemples et méthodes de prévention

Le credential harvesting est une menace sérieuse pour la sécurité et la confidentialité en ligne de votre organisation. Cela peut conduire au vol d’identité, à la fraude financière, à la fraude par account takeover, et à un accès non autorisé à des informations confidentielles, tant pour vos employés que pour vos utilisateurs. Dans cet article, nous allons expliquer ce qu’est le credential harvesting, comment vous pouvez l’identifier et l’empêcher.

Qu’est-ce que le credential harvesting ?

Le credential harvesting, également connu sous le nom de collecte de mots de passe ou de collecte de noms d’utilisateur, est une technique de cyberattaque qui consiste à voler des données personnelles ou financières des utilisateurs. Ces données peuvent inclure des noms d’utilisateur, des mots de passe, des données de cartes de crédit, des identifiants et des adresses électroniques.

Les cybercriminels ont divers moyens d’obtenir de telles informations sensibles, comme la fraude par bots, les e-mails de phishing, les faux sites web, les techniques d’ingénierie sociale qui exploitent les vulnérabilités humaines, et bien d’autres. Une fois que les cybercriminels ont volé ces identifiants, ils les utilisent pour accéder sans autorisation à des comptes personnels ou à des réseaux d’entreprises. Le credential harvesting devient alors la porte d’entrée vers de nombreux types de fraudes en ligne. Il doit être pris au sérieux par les organisations de toutes tailles dans tous les secteurs.

Comment fonctionne le credential harvesting ?

Comprendre comment fonctionnent les attaques de credential harvesting est crucial pour protéger vos données personnelles et professionnelles. Voici les différentes techniques utilisées par les cybercriminels pour exécuter leurs attaques contre les individus et les organisations.

Techniques courantes utilisées dans les attaques de credential harvesting

• E-mails de phishing : les cybercriminels envoient des e-mails apparemment légitimes en se faisant passer pour des entités de confiance, généralement avec des demandes urgentes ou des offres alléchantes qui incitent les destinataires à cliquer sur des liens. Ces liens mènent à des pages de connexion factices qui récoltent les informations confidentielles d’un destinataire.
• Faux sites web : les cybercriminels créent de faux sites web qui ressemblent étroitement à des portails de connexion légitimes. Par des méthodes comme le spoofing de domaine ou le typosquatting, ils incitent les utilisateurs à entrer leurs identifiants sur ces sites trompeurs, qui imitent souvent le design et la marque de services bien connus et légitimes.
• Malwares : des logiciels malveillants tels que les enregistreurs de frappe ou les voleurs de mots de passe peuvent capturer en silence les identifiants de connexion d’un utilisateur si son appareil a été infecté. Cette méthode permet aux cybercriminels de collecter des identifiants sans jamais interagir directement avec les utilisateurs.
• Ingénierie sociale : les cybercriminels exploitent la psychologie humaine pour manipuler les individus afin qu’ils divulguent des informations sensibles. Ils utilisent la confiance, l’urgence ou la peur pour tromper les utilisateurs en leur faisant divulguer leurs identifiants. Cela peut se faire par divers canaux de communication, y compris les appels téléphoniques, les messages texte ou les plateformes de réseaux sociaux.

Exemples d’attaques de credential harvesting

Un exemple courant de technique de credential harvesting est appelé smishing ; qui consiste à utiliser des messages SMS de phishing pour inciter les utilisateurs à cliquer sur des liens malveillants. C’est ce qui est arrivé à des clients canadiens de UPS en juin 2023. Ils ont reçu des messages SMS semblant provenir de UPS, demandant un paiement avant la livraison d’un colis. Les cybercriminels avaient réussi à utiliser les outils de recherche de colis de UPS pour accéder aux détails de livraison, y compris les informations de contact personnelles. UPS a dû émettre un communiqué public et travailler avec les forces de l’ordre et des experts tiers pour mettre fin au stratagème.

Dans un autre exemple, les employés de Reddit ont été ciblés par une campagne de phishing sophistiquée en février 2023. En conséquence, les cybercriminels ont eu accès au code ainsi qu’à des documents internes et à des systèmes d’entreprise, qu’ils ont menacé de divulguer si Reddit ne leur envoyait pas 4,5 millions de dollars. Les cybercriminels affirment disposer d’environ 80 gigaoctets compressés de données qui révèlent comment Reddit suit et, dans certains cas, censure ses utilisateurs, plaçant Reddit sous le feu des projecteurs.

Comment identifier les tentatives de credential harvesting ?

Bien que les cybercriminels puissent accéder de manière non autorisée à des informations sensibles de nombreuses manières, il existe certains signes d’une attaque de credential harvesting que vous devez toujours surveiller :

• Un nombre inhabituellement élevé de blocages de comptes : si plusieurs employés ou utilisateurs subissent des verrouillages de compte fréquents ou des demandes de réinitialisation de mot de passe, les attaquants pourraient essayer d’accéder sans autorisation à leurs comptes.
• Augmentation du nombre d’e-mails de phishing : une hausse soudaine des e-mails de hameçonnage ciblant les employés, les utilisateurs ou les partenaires de votre organisation peut être un signe que les cybercriminels tentent de récolter des identifiants. Soyez vigilant face aux e-mails suspects, tels que les demandes d’informations de connexion ou de vérification de compte.
• Adresses IP ou emplacements de connexion inconnus : surveillez les tentatives de connexion à partir d’adresses IP ou de lieux géographiques inconnus dans les systèmes de sécurité de votre organisation, ce qui pourrait indiquer que des attaquants tentent d’accéder aux comptes avec des identifiants volés.
• Trafic réseau suspect : Surveillez votre trafic réseau pour détecter des tentatives inhabituelles ou non autorisées d’accéder aux systèmes internes, serveurs ou bases de données. Recherchez des motifs de tentatives de connexion par force brute ou des transferts de données anormaux qui pourraient indiquer une attaque de credential harvesting.
• Activités inhabituelles sur les comptes : restez vigilant face à toute activité anormale dans les comptes des employés ou des utilisateurs, telles que des transactions non autorisées, des modifications des paramètres du compte ou l’accès à des informations sensibles. Ces activités pourraient être le résultat d’un credential harvesting réussi.
• Tentatives d’ingénierie sociale : faites attention aux rapports faisant état d’employés recevant des appels téléphoniques, des messages ou des visites de personnes prétendant être du service informatique ou d’autres entités de confiance. Les attaquants peuvent utiliser des tactiques d’ingénierie sociale pour tromper les employés et obtenir leurs identifiants.

Rappelez-vous, la présence d’un seul signe ne confirme généralement pas une attaque de credential harvesting. Toutefois, si vous remarquez plusieurs indicateurs ou une série d’activités suspectes, il est essentiel d’enquêter plus avant, de prendre les mesures qui s’imposent et de faire appel à des professionnels de la cybersécurité pour atténuer le risque.

L’impact commercial des attaques de credential harvesting

Les attaques de credential harvesting représentent des menaces significatives pour les entreprises de divers secteurs, bien qu’elles soient plus courantes et dangereuses dans le secteur des services financiers. Ces attaques peuvent avoir des conséquences dévastatrices pour une entreprise, allant des pertes financières aux dommages à la réputation, en passant par les sanctions réglementaires.

Prévalence dans tous les secteurs d’activité

Les attaques de credential harvesting ciblent des organisations de toutes tailles et de tous secteurs. Cependant, le secteur des services financiers est une cible particulièrement populaire, en raison de la grande valeur des données financières et du potentiel de gain monétaire. Les banques, les compagnies d’assurance et les sociétés d’investissement sont constamment menacées par des campagnes de credential harvesting sophistiquées visant à accéder aux informations financières sensibles de leurs clients.

Pertes financières

Lorsque les cybercriminels accèdent sans autorisation à des comptes financiers, ils peuvent détourner des fonds ou effectuer des transactions frauduleuses. L’impact financier direct de ces actions peut être considérable. Il y a les pertes liées aux fonds volés ou aux activités frauduleuses, mais aussi les coûts associés à l’enquête et à la réparation de la violation.

Atteinte à la réputation

Les clients font confiance aux entreprises pour protéger leurs informations sensibles. Une violation de données résultant d’une attaque réussie de credential harvesting brise cette confiance et inflige toujours des dommages réputationnels sévères à l’entreprise concernée. La publicité négative, la perte de clients et l’atteinte à la réputation de la marque peuvent avoir des conséquences durables pour les entreprises, affectant leur compétitivité et leur position sur le marché.

Sanctions réglementaires

Comme si les pertes financières et les dommages à la réputation ne suffisaient pas, presque toutes les entreprises sont soumises à des cadres réglementaires stricts pour protéger les données et la vie privée de leurs clients. Une attaque réussie de credential harvesting constitue un manquement à ces cadres et entraînera des amendes considérables, des frais juridiques et des coûts de mise en conformité.

Méthodes de prévention des attaques de credential harvesting

En comprenant les méthodes et les techniques des cybercriminels, les individus et les organisations peuvent se défendre efficacement contre les attaques de credential harvesting et protéger leurs informations sensibles contre l’accès non autorisé et l’exploitation.

Sensibilisation à la sécurité

Il est essentiel de sensibiliser les utilisateurs aux dangers de la collecte d’informations d’identification et à la manière d’identifier les tentatives d’hameçonnage. Des programmes réguliers de sensibilisation à la sécurité peuvent aider les individus à reconnaître les courriels, les sites web et les communications suspects, afin qu’ils puissent éviter de tomber dans ces pièges et prendre les mesures appropriées pour protéger leurs informations d’identification.

Authentification multifactorielle (MFA)

La MFA ajoute une couche de sécurité supplémentaire au-delà du nom d’utilisateur et du mot de passe habituels. En demandant aux utilisateurs de fournir des facteurs de vérification supplémentaires, tels qu’un code à usage unique envoyé à leur appareil mobile, la MFA réduit et élimine souvent le risque d’accès non autorisé au compte de quelqu’un, même si ses identifiants de connexion ont été compromis.

Pratiques de sécurisation des mots de passe

Encourager les utilisateurs à créer des mots de passe forts et uniques pour chaque compte en ligne est crucial pour prévenir les attaques de credential harvesting. Les gestionnaires de mots de passe aident à générer et à stocker de manière sécurisée des mots de passe complexes et réduisent considérablement la probabilité de réutilisation des mots de passe sur plusieurs plateformes.

Filtrage des e-mails et logiciels antivirus

Des logiciels de filtrage d’e-mails et antivirus puissants peuvent aider à signaler et à bloquer les e-mails et les fichiers malveillants associés aux tentatives de credential harvesting, allant des logiciels malveillants au spam par e-mail.

Surveillance continue à l’aide d’un logiciel de détection des fraudes

Les logiciels de prévention de la fraude comme DataDome surveillent le trafic et le comportement des utilisateurs sur vos sites web, applications mobiles et API, pour détecter et éviter les activités potentielles de credential harvesting en temps réel. Ces logiciels arrêtent souvent aussi d’autres attaques de fraude, car les cybercriminels s’appuient sur des techniques automatisées pour de nombreux types de fraude numérique.

Technologies émergentes et contre-mesures

Les nouvelles technologies, comme l’intelligence artificielle (IA) et l’apprentissage automatique (ML), peuvent analyser des modèles et comportements pour identifier des tentatives de credential harvesting. Ces technologies sont capables de détecter des anomalies dans le comportement des utilisateurs, le trafic réseau et les communications par e-mail, aidant à identifier les activités suspectes et à atténuer les risques.

Il en va de même pour les méthodes d’authentification biométrique, telles que la reconnaissance d’empreintes digitales ou faciale, qui ajoutent une couche supplémentaire de sécurité au-delà des identifiants et même de la MFA. Les données biométriques sont uniques à chaque individu, ce qui rend difficile pour les attaquants de les répliquer ou de les voler.

De même, les technologies biométriques comportementales analysent les modèles uniques dans le comportement de l’utilisateur, tels que la vitesse de frappe, le mouvement de la souris, ou les habitudes de navigation, pour authentifier continuellement les utilisateurs. Tout écart par rapport aux modèles de comportement établis peut déclencher des alertes et empêcher tout accès non autorisé.

Enfin, votre équipe informatique doit s’assurer de maintenir une infrastructure réseau sécurisée avec des pare-feu à jour, des systèmes de détection d’intrusion, des services DNS sécurisés et des logiciels antivirus. Il est crucial de mettre régulièrement à jour les logiciels et les systèmes d’exploitation pour corriger les vulnérabilités que les attaquants pourraient exploiter, et de fournir des avertissements concernant les URL potentiellement malveillantes que vos employés ou utilisateurs reçoivent.

Restez conforme aux réglementations sur la protection des données

Bien que les lois et réglementations liées au credential harvesting et à la protection des données varient selon les juridictions, de nombreuses réglementations se recoupent considérablement avec deux des cadres de confidentialité et de sécurité des données les plus importants : le RGPD et le CCPA.

Le Règlement général sur la protection des données (RGPD) est appliqué dans l’Union européenne et l’Espace économique européen. Il établit des réglementations complètes sur la protection des données et oblige les organisations à protéger les données personnelles, y compris les identifiants. Il impose des exigences strictes pour le traitement des données, le consentement, la notification de violation de données et les droits individuels.

La California Consumer Privacy Act (CCPA) est une loi de niveau étatique en Californie qui accorde aux consommateurs certains droits sur leurs informations personnelles, ce qui affecte les organisations bien au-delà de la juridiction de la Californie. Elle exige qu’elles divulguent les pratiques de collecte de données, permettent à leurs utilisateurs de se désinscrire des ventes de données, et maintiennent des mesures de sécurité raisonnables pour protéger les informations personnelles.

Prévenir les attaques de credential harvesting avec DataDome

Nous n’avons pas encore évoqué l’un des moyens les plus faciles et les plus efficaces d’éliminer le risque d’attaques de credential harvesting : DataDome, un logiciel de protection contre les bots et la fraude en ligne qui protège tous vos points de terminaison web, mobiles et API contre les menaces automatisées. Cela inclut les attaques de credential harvesting, mais aussi les attaques DDoS, le scraping, et d’autres types de fraude en ligne.

Les cybercriminels n’attaquent pas les organisations manuellement. Ils le font avec des scripts automatisés et des algorithmes. DataDome utilise des algorithmes avancés d’IA et de ML, ainsi qu’une équipe SOC disponible 24/7, pour stopper net ces menaces automatisées. Il le fait en quelques millisecondes et sans impacter votre expérience utilisateur.

DataDome se déploie facilement dans votre architecture technologique existante, affiche un taux de faux positifs de 0,01 %, et est livré avec des tableaux de bord intuitifs que vos équipes IT et DevSecOps peuvent utiliser pour comprendre comment DataDome protège votre organisation. Notre outil Vulnerability Scan peut vous donner un aperçu des bots de base atteignant vos sites web, applications et/ou API. Pour détecter des menaces plus sophistiquées, commencez un essai gratuit de 30 jours.

FAQ sur le credential harvesting

Qu’est-ce qu’une attaque de credential harvesting ?

Les attaques de credential harvesting impliquent le vol d’informations sensibles telles que les noms d’utilisateur et les mots de passe par des méthodes comme le phishing, le smishing ou l’exploitation de code, toutes conçues pour inciter les utilisateurs à révéler leurs identifiants.

Comment empêcher le credential harvesting ?

Le credential harvesting peut être évité en éduquant les utilisateurs sur le phishing, en utilisant des mots de passe forts et uniques, en activant l’authentification multi-facteurs et en mettant en place des mesures de sécurité robustes telles que le filtrage des e-mails, la formation des employés et un logiciel de prévention du credential stuffing.

Quel est un exemple de récolte de comptes ?

Les cybercriminels collectent un grand nombre de comptes d’utilisateurs et d’informations d’identification, généralement à l’aide d’outils automatisés qui récupèrent les noms d’utilisateurs et les mots de passe sur un site web compromis.

Comment les identifiants sont-ils capturés ?

Les informations d’identification sont capturées par le biais de diverses méthodes telles que les courriels d’hameçonnage (phishing), les faux sites web, les enregistreurs de frappe ou les tactiques d’ingénierie sociale, où les utilisateurs fournissent involontairement leurs informations de connexion aux attaquants.