Les barrières à l’entrée s’effondrent

Le credential stuffing est un type de cyberattaque où les fraudeurs volent ou achètent des listes d’identifiants sur le dark web comme des noms d’utilisateurs ou des adresses emails avec des mots de passe pour accéder aux comptes utilisateurs de plusieurs applications via des tentatives automatisées ayant souvent recours à des bots. C’est ce qu’on appelle des attaques automatisées. Un fraudeur utilise le code d’un site internet pour remplir des formulaires d’authentification en utilisant des identifiants volés.

Des fuites de données à grande échelle continuent de permettre l’accessibilité à des informations d’identification volées. Le prix des identifiants achetés sur le dark web a en effet augmenté. C’est la loi de l’offre et de la demande. Avec des demandes qui dépassent l’offre, de plus en plus de fraudeurs, tentent leur chance et s’aperçoivent rapidement qu’ils doivent automatiser leur métier comme tout bon professionnel en analytique.

Beaucoup d’entre nous utilisent les mêmes identifiants et mots de passe pour accéder à plusieurs comptes, ce qui favorise grandement ce genre d’attaque. De plus, certains mots de passe tels que 123456,” “qwerty,” et “abc123” sont trop utilisés et donc classés parmi les 10 mots de passe les plus piratés aujourd’hui. En outre, la puissance d’analyse des ordinateurs a largement augmenté ces dernières années ce qui permet des attaques bien plus rapides.
Les cybercriminels valident ces identifiants à travers de petites attaques pour tester des identifiants avant de lancer une offensive majeure sur leur cible finale.

Les avancées cybercriminelles

Les pirates font évoluer rapidement leur méthodologie d’attaque. Des bots plus sophistiqués en matière de credential stuffing choisissent une approche lente et ciblée dans un effort d’imiter le comportement du consommateur afin de passer inaperçu sous les radars de contrôle des vélocités. Ceci les rend plus difficiles à détecter.

Cependant, ces organisations criminelles adeptes des technologies font quelque chose de beaucoup plus troublant : ils vendent les données d’utilisateurs-identifiants, cookies, user agents du navigateur et plus-qui appartiennent à des internautes infectés par un programme malveillant qui a enregistré les mots de passe et les informations de leur navigateur. Une des manières de réussir ce tour de force est d’utiliser un logiciel espion, appelé keylogger trojan : un programme malveillant qui scrute les saisies clavier ainsi que tous les mots de passe et identifiants utilisés sur différents sites Internet.

Cela inclut les informations de l’agent navigateur, les signatures WebGL, HTML5 canvas fingerprints, les profils d’utilisateurs et identifiants pour les services bancaires, partage de fichiers et les réseaux sociaux, sans oublier tous les cookies associés à ces comptes. Ces cyberattaques par bots utilisant les données des utilisateurs pourraient vite devenir totalement invisibles noyées dans le trafic légitime.

D’autres cybercriminels utilisent des agents automatisés permis par l’intelligence artificielle capables d’imiter le comportement humain ce qui leur permet d’échapper à toute détection. Ils tirent également de plus en plus partie des adresses IP résidentielles pour donner au trafic des bots l’apparence d’une origine à faible risques et inoffensive.

Le coût du stuffing est indéniable

L’addition finale qui porte sur le credential stuffing peut s’avérer très élevée. Des paiements originaires de comptes peer to peer compromis sont responsables du vol de 500 millions de $ en 2018. CSO rapporte également que 60% des compagnies aériennes et 91% du trafic de commerces en ligne faisaient état de credential stuffing durant les pics d’attaques qui se sont déroulées l’année passée.

Selon le rapport d’enquête sur les fuites de données datant de 2019 sorti par Verizon, une méthode d’attaque spécialement lucrative aurait tiré parti d’identifiants volés pour compromettre des comptes d’adresses emails enregistrées sur le Cloud. Ces attaques font à présent partie des 16% de toutes les fuites, avec une augmentation de 3% en juste 12 mois. Les pirates infiltrent Gmail, Office 365 ou d’autres comptes emails sur le Cloud puis lancent des attaques à la chaine de phishing en se faisant passer pour des dirigeants d’entreprises, en leur volant des IP de valeur, pouvant ainsi détourner les salaires d’employés, entre autres méfaits. Le parfait exemple de ce genre d’attaque est l’arnaque portant sur le détournement des comptes Twitter de célébrités qui a généré 100 000 millions $ en bitcoin en sommes volées à des utilisateurs à travers le monde.

On a vu de nombreuses entreprises cotées en bourse devenir victimes d’attaques où les pirates détournaient des comptes de fournisseurs d’emails en envoyant de fausses factures. Une entreprise en particulier s’est vue devoir payer, sans en avoir conscience, une addition de 45 millions de $ à ces criminels par transfert de fonds. Une autre entreprise du même acabit a, quant à elle, due payer une addition s’élevant à 30 millions de la même manière.

La réponse se trouve dans l’identité

La vérité ne réside pas au cœur d’une seule solution miracle pour stopper le credential stuffing. Les entreprises vont devoir se rendre à l’évidence et utiliser une approche de défense multi-couches alors que les attaques en credential stuffing augmentent.

Les fuites d’identifiants, l’imitation du comportement via l’intelligence artificielle, les données volées d’utilisateurs sur le web, le piratage d’adresses IP résidentielle et toutes autres sortes d’usurpation d’identité ne trouvent pas de solution dans le simple fait de supposer que des centaines d’attributs d’identités ne peuvent être imitées ou volées.

Comment les entreprises peuvent-elles se protéger du credential stuffing ?
Les organisations peuvent se protéger en déployant des solutions d’évaluation avancées basées sur une vérification de l’identité numérique et renforcées par des données de biométrie comportementale. Les approches reposant sur de l’information mondiale et partagée ont particulièrement fait leur preuve. Un commerce qui a déployé ces solutions explique qu’il peut désormais bloquer 90% des attaques provenant du trafic des bots et qu’il a diminué de 50% les tentatives de login par les bots sans affecter négativement l’expérience client.

Il est temps d’agir

Certaines entreprises font des progrès significatifs en la matière. D’autres n’ont pas encore franchi le pas qui permettrait de limiter la menace posée par le credential stuffing. Si l’on prend en considération les sommes annuelles perdues qui se comptent en milliards ainsi que les nouvelles avancées techniques d’attaque, elles ont toutes les raisons pour mettre en place des mesures de protection efficaces le plus rapidement possible.

Notes :
(1) Credential Stuffing : test(s) de la validité d’identifiants/mots de passe en grand nombre.
(2) Le credential stuffing est un type de cyberattaque où des informations de comptes volées consistant généralement en des listes d’identifiants et les mots de passe associés (souvent obtenus de manière frauduleuse) sont utilisés pour obtenir un accès non autorisé à des comptes utilisateurs par le biais de demandes de connexion automatisée à grande échelle adressées à des applications Web1.