Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le credential stuffing  : encore une corde à l’arc des pirates informatiques

janvier 2021 par Alain Martin, co-président de l’Alliance FIDO

Le credential stuffing est une cyberattaque consistant à subtiliser les identifiants et données sur un service et tenter de les utiliser sur d’autres services – sans forcément qu’il n’y ait de rapport direct ou évident entre les deux.

Par exemple, un pirate informatique ayant acquis une liste de noms d’utilisateurs et de mots de passe d’un grand magasin peut utiliser ces informations de connexion pour essayer d’accéder au site d’une banque nationale, en espérant qu’une partie des clients des grands magasins aient également un compte dans cette banque et qu’ils ont réutilisé les mêmes noms d’utilisateur et mots de passe pour les deux services.

Même si la chance joue pour beaucoup ici, cette pratique peut permettre aux pirates et à ceux qui achètent les identifiants volés d’accéder non seulement aux comptes sur les sites piratés, mais également à tous les comptes pour lesquels la victime utilise le même mot de passe.

Comment un utilisateur peut-il se protéger au mieux contre le credential stuffing ?

Plus les gens se fient à leurs mots de passe, plus ils courent le risque d’être victimes d’attaques par credential stuffing. Ces attaques ne sont rendues possibles que par des violations de données qui exposent les détails de connexion d’un utilisateur. Ainsi, en abandonnant les mots de passe au profit d’une forme d’authentification plus sûre, les utilisateurs peuvent se protéger complètement contre le credential stuffing.

Les dernières techniques d’authentification sécurisée sont basées sur des normes qui permettent précisément de faire cela. Au lieu d’utiliser un mot de passe, une clé cryptographique sécurisée est stockée sur l’appareil personnel de l’utilisateur. Cette clé ne peut être ni volée ni réutilisée. Cela permet aux utilisateurs de se connecter simplement ou d’autoriser des transactions par la biométrie – l’empreinte digitale, la reconnaissance faciale…

Pratiquement tous les appareils dotés d’un navigateur web mis à jour sont désormais en mesure de tirer parti de cette technologie. Chaque utilisateur doit donc vérifier le service en question et, s’il le peut, à l’activer pour bénéficier d’une protection immédiate.

Comment les organisations peuvent-elles protéger au mieux leurs utilisateurs contre le credential stuffing ?

Les organisations peuvent adopter des normes ouvertes (comme celles développées par l’Alliance FIDO) pour fournir une authentification plus forte qui peut éliminer la menace du credential stuffing.

La clé pour y parvenir est l’utilisation de techniques de cryptographie à clé publique sur les appareils. Cette méthode est plus sûre que l’utilisation de mots de passe et d’autres formes d’authentification, car les informations d’identification de l’utilisateur ne sont jamais partagées et ne quittent jamais l’appareil de l’utilisateur.

Ces protocoles sont également conçus dès le départ pour protéger la vie privée des utilisateurs. En effet, ils ne fournissent pas d’informations pouvant être utilisées par un tiers pour suivre un utilisateur à travers les différents services auquel il accède.

Les organisations ont eu du mal à trouver le bon équilibre en termes d’authentification entre facilité et sécurité, en grande partie parce que le mot de passe est devenu un problème. Les mots de passe ont été conçus pour être simples mais, comme nous l’avons tous probablement vécu, ils sont devenus incroyablement lourds et difficiles à gérer.

En adoptant les dernières normes de cryptographie à clé publique sur les appareils, tout fournisseur de services en ligne peut authentifier les utilisateurs d’une manière qui est à la fois hautement sécurisée et presque sans friction. Par exemple, les sites web qui activent certaines normes peuvent s’assurer que le bon utilisateur se connecte ou vérifie une transaction particulière, et que l’utilisateur doit faire un geste simple comme toucher une clé de sécurité, et regarder ou toucher un écran.

Le credential stuffing est une pratique encore peu utilisée et pour cause  : les chances de succès sont très basses. Néanmoins, l’existence même de cette possibilité de cyberattaque renforce la nécessité de changer ses habitudes en matière d’authentification.




Voir les articles précédents

    

Voir les articles suivants