DataDome

Qu’est-ce qu’une attaque de Credential Stuffing ? Exemples et mesures d’atténuation

Table des matières
Credential stuffing
Kira Lempereur, Sr. Technical Writer
15 Sep, 2022
|
min

Qu’est-ce que le credential stuffing ?

Le credential stuffing est un type de cyberattaque où les hackers tentent d’accéder aux comptes utilisateurs en utilisant des paires de noms d’utilisateur et de mots de passe volés ou divulgués. Le terme « credential stuffing » est utilisé parce que les attaquants « bourrent » littéralement (soumettent) des identifiants volés dans des pages de connexion et d’autres formulaires d’inscription sur plusieurs sites pour accéder aux comptes.

Qu’ont en commun Zoom, Nintendo, GoDaddy et Marriott ? Ils ont tous été récemment victimes de grandes attaques de credential stuffing qui ont causé des dommages économiques et de réputation significatifs. Le credential stuffing et le credential cracking sont deux types de menaces automatisées qui peuvent donner aux hackers l’accès aux comptes en ligne de vos utilisateurs.

Dans cet article, vous apprendrez comment les hackers utilisent ces deux types d’attaque pour pénétrer dans vos sites web et applications mobiles. Vous apprendrez également pourquoi les hackers utilisent ces attaques et comment une attaque de credential stuffing se déroule typiquement. Enfin, vous découvrirez comment protéger votre entreprise contre ces attaques et comment DataDome protège contre 100 % des menaces automatisées OWASP (y compris les attaques de credential stuffing et de credential cracking).

À propos du Credential Stuffing

Le credential stuffing (OAT-008) est une menace automatisée qui utilise des bots malveillants pour « bourrer » les noms d’utilisateur et mots de passe connus (généralement issus de violations de données) dans les pages de connexion en ligne.

Parce que des centaines de millions de comptes dans le monde entier sont exposés chaque année, et parce que les gens ont tendance à réutiliser les mots de passe sur plusieurs sites, les hackers réussissent souvent à accéder aux comptes utilisateurs avec une attaque de credential stuffing.

Une brève histoire des attaques de Credential Stuffing

En 2014, les premiers signes d’attaques de credential stuffing ont été identifiés lorsque des hackers sur le dark web ont commencé à proposer des services pour monétiser les identifiants de comptes compromis. Selon Recorded Future, les premiers outils de credential stuffing étaient vendus entre 50 $ et 250 $ et pouvaient cibler une entreprise spécifique.

Au départ, l’outil effectuait du credential stuffing pour valider les ensembles d’emails et de mots de passe. Les hackers devaient ensuite dépenser des fonds supplémentaires pour acheter des outils avancés de vérification de compte afin de recueillir des informations à partir du compte compromis.

Aujourd’hui, les hackers peuvent commencer des attaques de credential stuffing en investissant aussi peu que 500 $ dans un logiciel de credential stuffing (également connu sous le nom de « account checking »), l’accès à des listes de combinaisons d’emails et de mots de passe, ainsi que l’utilisation de services proxy publics et privés pour l’obfuscation. Les outils automatisés actuels de credential cracking et de credential stuffing sont conçus pour vérifier des centaines de milliers de combinaisons d’identifiants sur plusieurs sites web.

Aujourd’hui, plus de 90 % du trafic de connexion du commerce électronique mondial provient de milliards d’attaques de credential stuffing.

Qu’est-ce que le credential cracking ?

Le credential cracking (OAT-007) est une tentative malveillante de trouver des identifiants de connexion utilisables en utilisant des outils automatisés de cassage de mots de passe par force brute, testant un grand nombre de valeurs différentes pour les noms d’utilisateur et les mots de passe.

Une attaque de credential cracking, parfois appelée attaque par force brute, réussit particulièrement bien contre les utilisateurs qui choisissent des mots de passe simples et faciles à deviner – ce qui n’est pas une bonne façon de prévenir une attaque par force brute. Les mots de passe faciles incluent tout mot du dictionnaire, tout mot de passe de moins de douze caractères et tout mot de passe contenant des informations personnelles.

Exemples d’attaques de Credential Stuffing et de Credential Cracking

Ces exemples réels de credential stuffing soulignent l’importance de prévenir les account takeovers.

Dunkin’ Donuts

Début 2019, Dunkin’ Donuts a annoncé avoir été victime d’une attaque d’ affectant 1 200 de leurs 10 millions de clients. Les cybercriminels ont utilisé des identifiants provenant de précédentes violations de données pour accéder aux comptes DD Perks rewards, qui contenaient les noms des membres, les adresses email, un numéro de compte DD Perks à 16 chiffres, et un code QR DD Perks. Le but des hackers dans cette attaque était de vendre l’accès aux comptes compromis, ainsi que les points de récompense stockés à l’intérieur.

Quelques mois plus tard, le lancement tant attendu du service de streaming Disney+ a été entaché de perturbations alors que les clients tentaient sans succès d’accéder à leurs comptes. La source du problème ? Le credential stuffing. Quelques heures seulement après le lancement, les identifiants de compte Disney+ étaient mis en vente sur des forums du dark web. En testant de gros volumes de noms d’utilisateur et de mots de passe précédemment volés sur le site de streaming Disney+, les hackers pouvaient facilement identifier les paires d’identifiants valides.

Poq

La société de commerce d’applications Poq fournit une plateforme SaaS qui permet aux détaillants de créer de belles applications mobiles. Des attaques agressives de credential stuffing ont exposé les clients de Poq à des account takeovers et à la fraude, menaçant la réputation de l’entreprise. Poq a mis en œuvre la solution de protection contre les bots de DataDome au niveau de la plateforme, et propose désormais la protection contre le credential stuffing en tant que service à valeur ajoutée.

Ces hackers sont allés à des extrêmes pour tenter de casser et contourner toutes les défenses que nous avions mises en place. Nous étions toujours sur le qui-vive, vérifiant nos systèmes de surveillance pour voir si nos défenses fonctionnaient, toujours en état d'alerte. Tout cela appartient au passé — la protection de DataDome fonctionne tout simplement.
Bala Reddy
VP of Engineering chez Poq

Lire le témoignage

Pourquoi les attaquants utilisent-ils le credential stuffing et le credential cracking ?

Lorsqu’une attaque de credential stuffing ou de credential cracking réussit, les hackers obtiennent l’accès au compte d’un utilisateur. C’est ce qu’on appelle l’account takeover — l’accès illégal à un compte utilisateur pour commettre une fraude.

Une fois qu’un attaquant est à l’intérieur d’un compte utilisateur, il peut monétiser les comptes compromis car il a désormais accès aux comptes bancaires liés, aux cartes de crédit et aux données personnelles qu’il peut utiliser pour le vol d’identité.

La forme la plus rentable d’account takeover est la fraude à la carte de crédit. Le carding est la pratique répandue consistant à utiliser des numéros de carte de crédit volés pour soit revendre les informations de paiement piratées sur le dark web, soit acheter des biens et services en utilisant de faux comptes avec les informations de carte de crédit volées.

Les attaques de carding augmentent généralement pendant les principales périodes de shopping ou lorsque les hackers savent que le site web qu’ils attaquent reçoit un grand nombre de visiteurs. Souvent, les attaques de carding passent inaperçues dans le trafic ou sont perçues comme des anomalies de trafic.

Une autre attaque rentable d’account takeover consiste à voler les données privées des clients, qui peuvent ensuite être vendues sur le dark web ou divulguées en ligne à des fins malveillantes. Lorsqu’elles sont divulguées en grand nombre, vous risquez :

  • De perdre définitivement un grand pourcentage des utilisateurs qui ont été piratés.
  • De lourdes amendes en vertu des cadres de protection des données tels que le RGPD et le CCPA.
  • Des pertes de biens ou de services, ainsi que des frais de rétrofacturation et de traitement des cartes.
  • Une perte de productivité dans la plupart des départements de votre entreprise.

Les organisations principalement ciblées par les attaques de credential stuffing comprennent le commerce électronique, les institutions financières, les réseaux sociaux, les technologies de l’information, les restaurants, le commerce de détail, ainsi que les industries du voyage et du transport. Cela dit, toute organisation avec une page de connexion est à risque d’une attaque de credential stuffing ou de cracking.

Comment fonctionnent les attaques de credential stuffing et de credential cracking ?

Le credential stuffing repose sur le problème répandu de la réutilisation des mots de passe pour accéder aux comptes en ligne. Parce que 81 % des individus réutilisent les mêmes mots de passe ou des mots de passe similaires pour plusieurs comptes, les acteurs malveillants ayant accès à une liste d’identifiants divulgués trouvent facilement des combinaisons de login et de mot de passe valides. Voici l’anatomie d’une attaque typique de credential stuffing :y time finding valid login and password combinations. Here’s the anatomy of a typical credential stuffing attack:

  1. Un attaquant crée un ou plusieurs bots qui peuvent accéder aux pages de connexion de plusieurs sites web en parallèle. Ces bots sont souvent déguisés en humains et peuvent utiliser de nombreuses IP différentes.
  2. Les bots passent rapidement leur liste d’identifiants volés sur les pages de connexion des sites web et des applications qu’ils ciblent.
  3. Une fois qu’ils ont accédé à un compte utilisateur, le bot est programmé pour prendre des informations personnellement identifiables, des cartes de crédit, des comptes bancaires liés, etc. C’est maintenant un account takeover.
  4. Le hacker finit par recueillir une vaste quantité d’informations précieuses qu’il peut soit revendre sur le dark web, soit garder pour d’autres fins malveillantes.

Le processus est relativement similaire pour le credential cracking, sauf que les bots ne sont pas programmés pour passer en revue une liste d’identifiants volés. À la place, ils passent rapidement en revue des modèles de mots de passe, des dictionnaires ou des phrases courantes jusqu’à ce qu’ils accèdent à un compte.

10 000 des mots de passe les plus courants peuvent accéder à 98 % de tous les comptes.

Lorsqu’ils réussissent à prendre le contrôle d’un compte en ligne, les cybercriminels peuvent effectuer des transactions non autorisées, à l’insu des victimes. Ces transactions passent souvent inaperçues pendant longtemps, car se connecter n’est pas une action suspecte. Cela fait partie de la logique de fonctionnement de tout site web avec une page de connexion.

Pour vous donner une idée de l’ampleur d’une attaque de credential stuffing : un client de DataDome a été attaqué avec 5,7 millions de requêtes provenant de 250 000 adresses IP différentes et 8 000 systèmes autonomes à travers 215 pays (y compris les territoires dépendants).

Les hackers derrière cette attaque étaient sophistiqués. Ils ont essayé de comprendre comment la solution DataDome fonctionnait (et pourquoi elle bloquait tous leurs bots). Au début, ils pensaient qu’ils étaient confrontés à un WAF. Chaque adresse IP ne générait que 10 à 20 requêtes pour tenter d’éviter la détection.

Les conséquences potentielles d’une attaque de credential stuffing

Même lorsqu’elles échouent, les attaques de credential stuffing et de credential cracking peuvent causer des dommages considérables. Tout d’abord, tout le trafic doit être pris en charge par la capacité du serveur et la bande passante. Si vous subissez régulièrement des attaques de credential stuffing, vous payez effectivement pour les bots qui attaquent votre entreprise.

Peut-être que ce n’est pas un gros problème si cela représente 5 % de votre trafic, mais les entreprises ont tendance à sous-estimer le pourcentage de trafic de bots sur leurs sites web. Il n’est pas rare que le trafic de bots varie entre 25 % et même 70 % de l’ensemble de votre trafic. Ne voudriez-vous pas que votre bande passante soit entièrement dédiée aux utilisateurs authentiques à la place ?

En outre, les pics de trafic dus aux attaques de credential stuffing et de credential cracking peuvent entraîner de mauvaises performances du site, voire des pannes. Toute page web lente est frustrante, mais une page de connexion lente ou défaillante est encore pire. Cela rend les utilisateurs méfiants à l’égard de votre site web, surtout s’ils y ont lié leurs coordonnées bancaires et leurs cartes de crédit.

Et cela, c’est seulement si les attaques de credential stuffing et de credential cracking échouent — et vous ne pouvez pas tenter le sort trop longtemps. À un moment donné, si vous n’êtes pas correctement protégé, les attaques réussiront et les hackers pénétreront dans les comptes de vos utilisateurs. Nous avons déjà brièvement abordé les dangers des account takeovers, mais vous pouvez en lire beaucoup plus à ce sujet dans notre guide de prévention de la fraude par account takeover.

Comment détecter les attaques de credential stuffing

Il existe des indicateurs clés que vous pouvez surveiller pour détecter efficacement les attaques de credential stuffing. Voici quelques signes principaux à rechercher :

  • Changements dans le trafic du site web. Recherchez des éléments tels que des tentatives de connexion multiples sur différents comptes en peu de temps.
  • Si votre taux d’échec de connexion est plus élevé que d’habitude, prenez le temps de l’examiner en profondeur.
  • Si votre site subit des pannes en raison d’une augmentation du trafic, assurez-vous de rechercher ce qui l’a causé.

Les éléments ci-dessus sont quelques moyens basiques pour détecter le credential stuffing et le credential cracking. Cependant, ils ne sont pas suffisants.

Il est essentiel d’investir dans les bons processus et logiciels pour garantir que vous pouvez pleinement détecter et prévenir les attaques de credential stuffing et de credential cracking.

Comment prévenir les attaques de Credential Stuffing

Les solutions de sécurité traditionnelles ont tendance à se fier fortement à la réputation des IP. Elles partent du principe que toute activité malveillante provenant d’une adresse IP signifie que toute activité de cette IP est probablement hostile. Aujourd’hui, les acteurs malveillants distribuent des bots via des IP résidentielles qui ont d’excellentes réputations — les requêtes envoyées par ces IP sont indiscernables de celles générées par des utilisateurs ordinaires. Les approches basées sur les IP ne sont donc plus efficaces.

Quelques moyens de détecter et de prévenir les attaques de credential stuffing et de credential cracking sont :

  • Une option d’authentification multi-facteurs (MFA) pour les comptes.
  • Encourager l’utilisation de gestionnaires de mots de passe pour générer des mots de passe uniques et forts.
  • Surveiller le trafic web pour détecter les mêmes IP avec des sous-réseaux variables (un signe de service proxy).
  • Enquêter sur les activités souterraines des cybercriminels pour repérer des schémas ciblant votre entreprise.
  • Former les membres du personnel à se défendre contre les attaques automatisées de bots e-commerce.

Mais pour protéger efficacement contre le credential stuffing et le credential cracking, vous avez besoin d’une solution de sécurité avec des capacités de détection et de protection en temps réel.
Une bonne solution de détection des bots et des fraudes en ligne sera capable d’identifier rapidement les comportements des visiteurs qui montrent des signes de tentatives de credential cracking ou de credential stuffing. Pour identifier correctement le trafic frauduleux et bloquer les attaques de credential cracking et de stuffing, la solution de détection des bots doit analyser à la fois des données techniques et comportementales.

Les données techniques peuvent inclure des informations telles que le user-agent, le propriétaire de l’IP et la géolocalisation. Les signes comportementaux d’activité de bot peuvent être le nombre de hits par adresse IP, la vitesse de crawling, la fréquence de crawling, et bien d’autres. Lorsqu’un bot malveillant est détecté, le logiciel de détection de fraude sur les comptes peut alors déclencher des alertes ou bloquer automatiquement les bots avant que les comptes utilisateurs ne soient compromis. Pendant tout cela, l’expérience utilisateur des visiteurs humains authentiques ne doit pas être perturbée.

Prévenez le Credential Stuffing, le Credential Cracking et les ATO Attacks avec DataDome Account Protect

Puisque les bots et les humains utilisent maintenant les mêmes navigateurs et adresses IP, une protection efficace contre le credential stuffing nécessite des capacités de détection avancées. Account Protect va au-delà de la protection contre les bots, en construisant une image plus complète de l’activité des utilisateurs pour repérer les signaux d’alerte pouvant indiquer une fraude. En analysant des signaux tels que le nom d’utilisateur/l’adresse email, le temps/la localisation, la géolocalisation, etc., nous pouvons identifier avec précision la fraude de compte—credential stuffing, credential cracking, et ATO, entre autres—sans aucun compromis.

Account Protect lutte contre la fraude en pilote automatique 24/7, vous offrant la tranquillité d’esprit et protégeant vos clients. Prêt à enfin mettre fin au credential stuffing et à d’autres types de fraudes de compte ? Utilisez notre Vulnerability Scan ou contactez-nous pour demander une démo.

DataDome
Kira Lempereur
Sr. Technical Writer
Kira Lempereur est rédactrice technique senior chez DataDome et responsable du pôle LGBTQ+ de l'entreprise. Elle collabore avec les équipes chargées de la recherche sur les menaces, du marketing et des produits afin de créer du contenu visant à renforcer un leadership éclairé en matière de lutte contre les bots et la fraude en ligne. Kira possède plus de 6 ans d'expérience dans le secteur de la cybersécurité, allant des logiciels antivirus d'entreprise à la lutte contre les bots.

Articles liés