DataDome

Comment empêcher les attaques de credential stuffing : 5 stratégies pour 2024

Table des matières
Bot management Credential stuffing
Kira Lempereur, Sr. Technical Writer
5 Jun, 2023
|
min

Le Credential stuffing est l’une des menaces de cybersécurité les plus dangereuses, car elle est subtile. Contrairement au Credential cracking, une attaque de Credential stuffing ne tente pas de forcer brutalement l’accès aux comptes de votre entreprise ou de vos utilisateurs. Au lieu de cela, les acteurs malveillants utilisent l’énorme quantité de noms d’utilisateur et de mots de passe compromis disponibles en ligne pour se connecter. Ils le font avec des techniques automatisées et sophistiquées qui rendent la protection des utilisateurs et des données des entreprises plus difficile que jamais. Ce qui ressemble à une connexion peut être une violation.

Cet article présente cinq stratégies efficaces pour renforcer vos défenses contre ces attaques incessantes en 2023-24. Tout d’abord, nous parlerons des risques liés au Credential stuffing, puis nous plongerons dans les stratégies, avant d’aborder la place du logiciel de prévention du Credential stuffing et la manière dont vous pouvez construire une culture d’entreprise résiliente contre les attaques de Credential stuffing.

Ne jamais sous-estimer les risques du Credential stuffing

De nombreuses personnes réutilisent des mots de passe sur plusieurs comptes en ligne, ce qui rend les attaques de Credential stuffing si populaires auprès des auteurs malveillants. Si une entreprise ne se protège pas correctement, il n’est pas difficile pour un fraudeur de se connecter au compte de quelqu’un d’autre (account takeover) et de voler ou d’utiliser ses données à des fins frauduleuses. Les conséquences incluent :

  • Une perte financière personnelle : les hackers qui pénètrent sur le compte de quelqu’un peuvent effectuer des transactions non autorisées avec ses cartes de crédit ou voler de l’argent de ses comptes bancaires ou portefeuilles numériques. Cette situation est effrayante et frustrante pour l’utilisateur concerné, et elle entraîne une perte de confiance et des coûts de rétrofacturation pour l’entreprise concernée.
  • Le vol d’identité : les hackers utilisent les informations personnelles des personnes pour demander des prêts ou des crédits, ou pour créer de fausses pièces d’identité ou passeports. Cela affecte la cote de crédit des personnes et peut rapidement devenir un casse-tête administratif et financier.
  • Des perturbations commerciales : les hackers qui parviennent à pénétrer sur le compte d’une entreprise peuvent avoir accès à une grande quantité de données d’entreprise sensibles. Ils pourraient alors divulguer des informations exclusives ou de la propriété intellectuelle, ce qui sera au mieux embarrassant, au pire extrêmement dommageable pour votre réputation et vos revenus.
  • Une atteinte à la réputation : indépendamment de la manière dont une attaque de credential stuffing se produit, si un hacker parvient à pénétrer dans un compte d’utilisateur ou d’entreprise, il sera difficile pour quiconque de vous faire à nouveau confiance avec des données sensibles. Les gens peuvent ne plus vouloir créer de comptes avec vous, en particulier si l’attaque conduit à une publicité négative et une couverture médiatique.
  • Des répercussions légales : non seulement vous risquez des poursuites judiciaires de la part des parties affectées si vous perdez leurs données sensibles, mais vous êtes probablement soumis à des cadres de protection des données comme le RGPD, le CCPA, ou, si vous êtes responsable des données de santé des personnes, l’HIPAA. Chacun de ces cadres a des règles strictes de confidentialité des données qui, lorsqu’elles sont enfreintes, entraînent de lourdes amendes et pénalités. Par exemple, dans le cas du RGPD, vous pouvez être condamné à une amende allant jusqu’à 4% de votre chiffre d’affaires global.

5 méthodes efficaces de prévention contre le Credential stuffing

1. Authentification multifactorielle (MFA)

L’authentification multifactorielle exige des utilisateurs qu’ils fournissent une autre forme d’identification avant d’obtenir l’accès au compte. Cela rend les attaques par mot de passe inefficaces car les hackers qui connaissent le mot de passe d’un utilisateur devront désormais également connaître, par exemple, la réponse à une question de sécurité supplémentaire ou le code d’un texte ou d’un e-mail reçu par l’utilisateur. La MFA biométrique, qui utilise les empreintes digitales ou la reconnaissance faciale, est encore plus efficace.

Chaque entreprise devrait chercher à utiliser des plateformes qui prennent en charge la MFA. Tous les comptes d’entreprise devraient activer la MFA, ainsi que tous les utilisateurs. De plus, des derniers doivent être informés de l’importance d’activer le MFA. Cela réduirait considérablement le taux de réussite des connexions non autorisées et rendrait extrêmement difficile pour les hackers de pénétrer sir un compte par une attaque de Credential stuffing (ou cracking).

Bien sûr, la MFA n’est pas parfaite. Tous les utilisateurs ne l’activeront pas, parce qu’elle les oblige à faire une démarche supplémentaire ou à avoir un autre appareil avec eux chaque fois qu’ils veulent se connecter. Il est également possible pour un hacker d’accéder à l’une des méthodes d’authentification, en particulier dans le cas d’un SMS, qui est facilement intercepté.

2. Limitation du débit et étranglement

La limitation de débit contrôle le nombre de requêtes qu’un utilisateur peut envoyer à un serveur dans un laps de temps spécifique. Le Throttling, ou étranglement, contrôle quant à lui le taux total de demandes pour s’assurer que les performances ne se dégradent pas à cause d’une augmentation soudaine des demandes. Les deux sont importants contre le Credential stuffing car les hackers ne font pas leur travail manuellement. Ils utilisent des solutions automatisées qui leur permettent de cibler un ou plusieurs comptes avec un grand nombre de demandes en très peu de temps.

Ainsi, une méthode efficace contre le Credential stuffing est de mettre en place des scripts côté serveur ou des solutions de sécurité qui surveillent et restreignent le taux de demandes. Vous pouvez également mettre en place des retards progressifs en cas d’échecs répétés de tentatives de connexion. Cela réduira considérablement le taux de réussite des attaques de Credential stuffing, tout en protégeant vos ressources serveur et en vous assurant que tout reste en ligne.

L’inconvénient de la limitation de débit et de l’étranglement est qu’ils peuvent parfois bloquer des utilisateurs légitimes qui font accidentellement plusieurs tentatives de connexion infructueuses. Cette méthode est également gourmande en ressources, dans la mesure où les solutions de sécurité qui vous protègent peuvent exercer une charge supplémentaire sur les ressources du serveur.

3. CAPTCHA & tests de réponse aux challenges

Nous connaissons tous les CAPTCHA. Ils exigent des utilisateurs qu’ils accomplissent une tâche censée être facile pour les humains mais difficile pour les bots, comme identifier des vélos dans une variété d’images. Un service de CAPTCHA s’intègre facilement dans vos pages de connexion et d’inscription. Assurez-vous simplement de mettre à jour le défi CAPTCHA régulièrement pour que les attaquants ne parviennent jamais à s’adapter.

Les avantages des CAPTCHA sont qu’ils filtrent efficacement le trafic simple de bots et sont souvent entièrement gratuits. C’est un moyen facile d’augmenter la sécurité globale de votre site web. Cependant, de nombreux utilisateurs trouvent les CAPTCHA ennuyeux ou difficiles à résoudre, en particulier pour ceux qui ont certaines incapacités. Ils ne sont pas non plus difficiles à résoudre pour des bots plus sophistiqués. Recherchez des services de CAPTCHA accessibles, et qui ne sont pas des solutions autonomes—de préférence utilisés dans le cadre d’une solution plus large de prévention contre les bots et la fraude.

4. Listes de blocage de mots de passe & surveillance des identifiants compromis

Les listes de blocage de mots de passe empêchent les utilisateurs de créer ou de mettre à jour des comptes avec des mots de passe couramment utilisés ou compromis. Pendant ce temps, les services de surveillance alertent les utilisateurs si leurs identifiants apparaissent dans des violations de données connues. Les entreprises peuvent utiliser ces informations pour inciter les utilisateurs affectés (ou tous) à mettre à jour leurs mots de passe. Cela augmentera la force des mots de passe dans votre base d’utilisateurs et protégera les utilisateurs contre les violations de données passées.

Cependant, cela ne protège que contre les mots de passe les plus faibles et les plus courants. Il existe de nombreux autres mots de passe qui ne figurent pas sur les listes de blocage et qui sont faciles à deviner ou à casser. Cela peut également être frustrant pour les utilisateurs de devoir changer de mot de passe tous les x mois à cause d’une violation de données dont ils n’étaient pas au courant.

5. Analyse comportementale et Intelligence Artificielle (IA)

La méthode de Credential stuffing la plus avancée utilise l’IA pour analyser les modèles de comportement des utilisateurs. Les anomalies dans les modèles peuvent indiquer une activité automatisée de bot et une attaque de Credential stuffing (ou un autre type d’attaque de bot). Ces anomalies peuvent ensuite être utilisées pour bloquer certaines demandes avant même qu’elles n’atteignent les pages de connexion ou d’inscription.

L’inconvénient de se fier exclusivement à l’analyse comportementale et à l’IA est qu’elles ne sont pas parfaitement précises. Parfois, elles peuvent mal identifier un comportement légitime comme malveillant et vice versa, en particulier si le modèle n’est pas fréquemment et correctement mis à jour. Il existe également des préoccupations en matière de confidentialité des données, car la collecte et l’analyse du comportement des utilisateurs nécessitent une communication claire et une conformité au RGPD ou à d’autres réglementations.

Le rôle du logiciel de prévention contre le credential stuffing

Lorsqu’elles sont combinées, les cinq méthodes de prévention ci-dessus forment une barrière efficace contre le Credential stuffing et le cracking. Elles sont importantes et chaque entreprise devrait les mettre en place (lorsque cela est possible) sur ses sites web, applications mobiles et API. Cependant, ces méthodes sont les plus puissantes lorsqu’elles sont combinées en un seul système cohérent.
Le logiciel de prévention du Credential Stuffing rassemble divers mécanismes de défense :

  • L’analyse comportementale : cette fonctionnalité scrute le comportement de l’utilisateur pour discerner les interactions humaines authentiques des actions automatisées de bot, prenant des mesures rapides contre ces dernières.
  • La limitation de débit : cela limite la menace des attaques par force brute en contrôlant le nombre de tentatives de connexion autorisées dans une période donnée.
  • Le « geofencing » (délimitation géographique) : en évaluant l’origine des demandes de connexion, le geofencing peut dissuader ou alerter sur les tentatives provenant de lieux inhabituels ou à haut risque.
  • L’analyse heuristique : grâce à l’analyse prédictive, le logiciel évalue les modèles de connexion et les recoupe avec des stratégies de piratage connues.
  • Le renseignement continu sur les menaces : toujours avec une longueur d’avance, le logiciel met constamment à jour ses plans de défense pour toujours devancer les dernières techniques des hackers.

L’avantage d’un tel logiciel est qu’il fournit une défense holistique plutôt qu’une seule couche de protection. Parce qu’il fonctionne en temps réel, il permet une action immédiate contre toute attaque. Le logiciel de prévention du Credential stuffing évolue également avec votre entreprise et peut s’intégrer de manière transparente dans votre architecture technologique existante.

Meilleures pratiques pour établir une culture de sécurité résiliente

Si vous avez suivi les conseils ci-dessus, vous disposerez d’une configuration de sécurité robuste contre le Credential stuffing. Cependant, cela ne vous protège pas contre les attaques d’ingénierie sociale telles que le phishing. Bien que non automatisé, c’est un autre exemple de credential stuffing. Chaque jour, les hackers manipulent les employés pour qu’ils divulguent leurs mots de passe.
Une culture de sécurité résiliente est donc également importante. Voici comment vous pouvez créer une telle culture :

  1. Organisez régulièrement des ateliers avec des experts de l’industrie : engager des experts de l’industrie pour des sessions de formation et des ateliers permet de présenter à votre entreprise les dernières tendances, techniques et stratégies de défense en cybersécurité. Cela permet à votre équipe d’acquérir les dernières connaissances en matière de cybersécurité et d’adopter une approche proactive face aux menaces potentielles.
  2. Participez à des conférences et séminaires de sécurité : ces plateformes offrent un aperçu des dernières recherches, études de cas et avancées technologiques en matière de sécurité. Cela favorise également une culture d’apprentissage continu et permet de s’assurer que les employés sont au fait du paysage mondial de la cybersécurité.
  3. Créez des forums collaboratifs : créez des forums internes où les membres de l’équipe peuvent discuter des menaces potentielles, partager des expériences et collaborer sur des solutions. Cela améliore les connaissances collectives et promeut un sens de responsabilité communautaire envers la sécurité.
  4. Collaborez avec d’autres : établissez des partenariats avec d’autres organisations et coalitions industrielles pour partager activement des renseignements sur les menaces. Cela fournira une vue plus complète des menaces émergentes et facilitera l’adoption précoce de mesures préventives.
  5. Mettez régulièrement à jour un guide des meilleures pratiques : rassemblez les idées des experts du secteur, les expériences tirées d’incidents passés et les leçons tirées par des organisations homologues dans un guide régulièrement mis à jour. Ce guide servira de référence aux équipes et permettra à chacun de s’aligner sur les meilleures pratiques les plus récentes.
  6. Encouragez les retours et l’innovation : accueillez les suggestions des employés pour améliorer sur l’amélioration des mesures de sécurité et encouragez-les à se tenir au courant des dernières nouveautés en matière de cybersécurité. Cela permet d’exploiter l’intelligence collective de l’organisation et de favoriser le sentiment d’appartenance des employés.

Comment prévenir les attaques de Credential stuffing avec DataDome ?

La meilleure protection contre le Credential stuffing arrête les bots sur lesquels les hackers s’appuient. Ces bots deviennent de plus en plus difficiles à discerner des humains, car ils utilisent souvent des empreintes digitales d’appareils similaires à ceux des humains et des adresses IP ayant une bonne réputation. Les arrêter nécessite des capacités avancées de détection de bots. Avec le suivi d’événements en temps réel et la détection comportementale, DataDome protège vos sites web, API et applications mobiles des attaques de Credential stuffing les plus sophistiquées.
DataDome est compatible avec toute infrastructure web et fonctionne en pilote automatique : le moteur de détection de bots alimenté par l’IA identifie, classe et bloque toutes les menaces automatisées en temps réel. Vous recevez une notification chaque fois que votre site est attaqué, mais vous n’avez rien à faire.

Nos chercheurs en menaces et nos scientifiques de données experts surveillent et atténuent également de manière proactive votre trafic automatisé pour garantir une sécurité et des performances optimales en tout temps. L’équipe SOC est disponible pour enquêter sur toute activité suspecte, ou analyser les attaques de Credential stuffing atténuées, 24 heures sur 24, 7 jours sur 7.

Prêt à enfin mettre un terme au Credential stuffing ? Commencez votre essai gratuit ou contactez-nous pour demander une démo.

DataDome
Kira Lempereur
Sr. Technical Writer
Kira Lempereur est rédactrice technique senior chez DataDome et responsable du pôle LGBTQ+ de l'entreprise. Elle collabore avec les équipes chargées de la recherche sur les menaces, du marketing et des produits afin de créer du contenu visant à renforcer un leadership éclairé en matière de lutte contre les bots et la fraude en ligne. Kira possède plus de 6 ans d'expérience dans le secteur de la cybersécurité, allant des logiciels antivirus d'entreprise à la lutte contre les bots.

Articles liés