“Les criminels ne sont pas difficiles : tout ce qui est accessible peut être utilisé d’une manière ou d’une autre ", déclare Steve Ragan, chercheur en sécurité chez Akamai et auteur du rapport sur l’état de l’Internet et la sécurité. "C’est pourquoi le credential stuffing est devenu si populaire au cours des dernières années. De nos jours, les comptes clients des commerces et leurs programmes fidélité contiennent un grand nombre de données personnelles, et dans certains cas, ils comprennent également des informations financières. Toutes ces données peuvent être collectées, vendues, échangées ou même compilées pour des profils étendus, qui peuvent ensuite être utilisés pour des crimes tels que l’usurpation d’identité".

Lors des confinements liés à la pandémie COVID-19 au premier trimestre 2020, les criminels ont profité de la situation mondiale et ont fait circuler des listes de combinaisons de mots de passe, ciblant chacune des industries commerciales figurant dans le rapport. C’est à cette époque que les criminels ont commencé à faire circuler d’anciennes listes de mots de passe afin d’identifier de nouveaux comptes vulnérables, ce qui a entraîné une augmentation importante des stocks et des ventes criminelles liées aux programmes de fidélisation.

Entre juillet 2018 et juin 2020, Akamai a observé au total plus de 100 milliards d’attaques par credential stuffing. Dans le secteur du commerce, comprenant le commerce au détail, le voyage et l’hôtellerie, 63 828 642 449 attaques ont été enregistrées. Plus de 90 % de ces attaques visaient le secteur de la vente au détail.

Le credential stuffing n’est pas la seule façon dont les criminels ciblent ces secteurs. Ils ciblent les entreprises de ces secteurs à la source en utilisant des attaques par injection SQL (SQLi) et par inclusion de fichiers locaux (LFI). Entre juillet 2018 et juin 2020, Akamai a observé 4 375 711 860 attaques web contre le commerce de détail, des voyages et l’hôtellerie, ce qui représente 41 % du volume total des attaques dans tous les secteurs. Dans cet ensemble de données, 83 % de ces attaques web visaient le seul secteur de la vente au détail. Les attaques SQLi sont manifestement les plus populaires auprès des criminels, représentant un peu moins de 79 % du total des attaques d’applications web contre le commerce de détail, le secteur des voyages et l’hôtellerie.

Alors que l’économie mondiale se prépare à la période des achats des fêtes, elle le fait dans un environnement qui a radicalement changé en raison de la pandémie. Les consommateurs ne seront plus obligés d’attendre les dernières offres dans les points de vente physiques, comme ils le faisaient auparavant. Ils vont se connecter, collecter leurs points de fidélité et peut-être utiliser les programmes de fidélité pour obtenir des réductions ou d’autres avantages simplement en étant membre.

Si l’on considère les programmes de fidélisation réussis, et les informations que les gens doivent fournir pour y adhérer, les criminels ont tout ce qu’il faut pour se lancer dans des entreprises criminelles, depuis la reprise de comptes jusqu’au vol d’identité pur et simple. Ainsi, si la fidélité d’un individu envers un commerçant, une compagnie aérienne ou une chaîne hôtelière n’est pas littéralement à vendre, il y a de fortes chances que le compte associé à ces programmes le soit.

"Toutes les entreprises doivent s’adapter aux événements extérieurs, qu’il s’agisse d’une pandémie, d’un concurrent ou d’un agresseur actif et intelligent", a conclu M. Ragan. "Certains des principaux programmes de fidélisation ciblés ne nécessitent rien de plus qu’un numéro de téléphone portable et un mot de passe numérique, tandis que d’autres s’appuient sur des informations facilement obtenues comme moyen d’authentification. Il est urgent d’améliorer les contrôles d’identité et les mesures pour prévenir les attaques contre les API et les ressources des serveurs".

Le rapport "Akamai 2020 SOTI/ Security", Loyalty for Sale - Retail and Hospitality Fraud est disponible ici. En outre, Akamai organisera un webinaire le jeudi 22 octobre à 17h au cours duquel les experts en sécurité d’Akamai discuteront des conclusions de ce dernier rapport. Pour vous inscrire au webinaire, rendez-vous ici.

Pour toute information complémentaire, les spécialistes de la sécurité peuvent contacter les chercheurs sur les menaces d’Akamai, et discuter avec eux. Pour découvrir les avantages que la plate-forme Intelligent Edge d’Akamai offre dans le contexte évolutif de menaces informatiques, rendez-vous sur le Threat Research Hub d’Akamai.