Le credential stuffing, ou bourrage d’identifiants, intervient lorsqu’un cybercriminel obtient un grand nombre de données de connexion volées ou divulguées sur un site web et les teste sur d’autres sites. L’attaquant fait le pari qu’un certain nombre des utilisateurs concernés réutilisent les mêmes identifiants sur d’autres sites (email, achats en ligne, etc.) et espère bien pouvoir accéder à ces autres comptes grâce aux identifiants volés !

Il peut alors vider des comptes bancaires, effectuer des achats importants ou voler des identités pour créer de nouveaux comptes frauduleux. Et dans le pire des cas, l’attaquant pourra utiliser ces identifiants pour prendre pied dans le réseau interne d’une entreprise via son VPN, puis augmenter ses privilèges afin de mener des attaques plus graves, de type rançongiciel.

Et ce n’est pas très compliqué ! En utilisant des outils facilement disponibles, les cybercriminels peuvent tester (ou "bourrer") automatiquement un énorme volume de comptes dérobés dans les pages de connexion d’un ou de plusieurs sites web à la fois.

Partout dans le monde, le bourrage d’identités est en train de devenir l’un des types d’attaques les plus répandus et, comme le phishing et les logiciels malveillants, il repose sur un maillon faible : l’utilisateur !

Mais il existe cependant des mesures que les particuliers et les entreprises peuvent prendre pour réduire ce risque.

Pour les utilisateurs :
• N’utiliser que des mots de passe uniques pour chaque compte. Beaucoup d’internautes réutilisent leurs mots de passe sur plusieurs services en ligne, et c’est précisément pour cela que le credential stuffing existe ?! La meilleure façon de ne plus le faire est d’utiliser un gestionnaire de mots de passe. Cet outil crée des mots de passe forts et uniques pour chaque compte en ligne, puis il les chiffre et les stocke dans un coffre-fort sécurisé protégé par un mot de passe principal, qui devient le seul à retenir. Il suffit alors de le déverrouiller en arrivant sur un site (avec uniquement le mot de passe principal) pour s’y connecter automatiquement

• Changer de mot de passe lorsqu’un site informe d’une brèche. Le site haveibeenpwnd.com est une bonne ressource à consulter régulièrement pour savoir si les identifiants utilisés sur tel ou tel site ont été compromis. Et si c’est le cas, il est important de changer immédiatement non seulement le mot de passe du compte piraté, mais aussi de faire de même sur les autres sites qui utiliseraient les mêmes informations d’identification

• Supprimer les comptes inutilisés et inutiles. Cela demande certes un peu d’effort, mais il est utile de retrouver les anciens comptes, inutilisés, et de les supprimer. Cela réduit le risque que des pirates utilisent les anciens identifiants, éventuellement identiques, à ceux de comptes actuels.

• Utiliser systématiquement l’authentification multifactorielle (MFA) lorsqu’elle est disponible. Le principe en est simple : à chaque connexion, l’utilisateur devra fournir une information supplémentaire, en plus de mot de passe, qui n’est pas stockée par le site web visité. En général, il s’agit d’un code envoyé par SMS, d’un jeton matériel dédié ou fourni par une application d’authentification multifactorielle sur le smartphone. L’utilisateur doit entrer un nom d’utilisateur et un mot de passe, ainsi que le code pour compléter la connexion. C’est une manière de prouver que le mot de passe n’est pas utilisé par quelqu’un d’autre, qui ne pourrait avoir accès au second facteur d’authentification.

Il faut toujours opter pour cette option lorsqu’elle est disponible. C’est un obstacle très efficace contre le bourrage d’identifiants. Et il faut encourager les sites qui ne le proposent pas encore à le faire ?! En tant que consommateur, il est possible de mettre la pression sur les organisations pour qu’elles adoptent l’authentification multifactorielle, en particulier les sites web qui traitent des informations sensibles ou des transactions financières. D’ailleurs, il vaut mieux y réfléchir à deux fois avant d’ouvrir un nouveau compte si le MFA n’est pas proposé !

Pour les entreprises :

• Mettre en œuvre l’authentification multifactorielle (MFA). Il est important d’utiliser le MFA pour tous les sites web publics où cela est possible, et même pour les ressources internes qui gèrent des données sensibles et confidentielles. Bien qu’il ne s’agisse pas d’une méthode de protection infaillible - les attaquants recherchent constamment de nouvelles techniques pour déjouer les défenses - elle constitue un moyen de dissuasion efficace !

• Déployer une solution anti-bot intelligente. Ces solutions collectent des données sur l’utilisateur et le dispositif qui tente de se connecter et utilisent l’apprentissage machine pour identifier et bloquer les comportements abusifs dus aux robots. Et pour les organisations qui ne sont pas en mesure de déployer une solution antibot sophistiquée, les mesures suivantes peuvent être utiles :
– Utiliser des CAPTCHA pour aider à distinguer les humains des robots. Ils ne sont pas infaillibles - quelques outils de bourrage de compte ont des mécanismes intégrés pour résoudre les CAPTCHA - mais peuvent s’avérer dissuasifs
– Prendre l’empreinte numérique des appareils et des navigateurs. En recueillant des informations sur le logiciel et le matériel utilisés, les défenseurs peuvent savoir quand le même attaquant tente de se connecter à plusieurs comptes (et d’autant plus sur une période de temps courte), ce qui peut indiquer une attaque par bourrage de comptes
– Limiter le débit IP. Ce contrôle de sécurité bloque les adresses IP qui tentent de se connecter plusieurs fois dans une fenêtre de temps prédéfinie, par exemple, plus de trois fois par seconde. C’est évidemment plus que ce qu’un humain pourrait entrer manuellement, ce qui indique probablement qu’il s’agit de tentatives automatisées
– Refuser les adresses IP de mauvaise réputation. Les attaquants disposant de peu de ressources tentent souvent d’utiliser un petit nombre d’adresses IP pour mener leurs attaques. Lorsqu’il est clair que de nombreuses tentatives de connexion infructueuses proviennent de ces adresses, il est alors facile de les bloquer. Il faut toutefois savoir que certaines adresses peuvent représenter des systèmes légitimes qui ont été détournés par des robots à l’insu de leurs propriétaires
• Détecter les identifiants volés. Il est important de contrôler les tentatives de connexion par rapport à une liste d’identifiants volés connus, et de bloquer toute demande qui y correspond.
• Analyser les journaux des sites web. Voici quelques points à rechercher dans les journaux des sites web :
– Un volume de trafic élevé avec un faible taux de réussite des connexions. Un site web typique a un taux de réussite de connexion de 60 à 85%, donc un taux de réussite de 10 à 15% devrait attirer l’attention sur un éventuelle attaque par bourrage d’identifiants
– Une activité de connexion continue en dehors des heures de bureau normales
– Des pics de trafic extrêmes
• Appliquer des politiques strictes en matière de mots de passe. L’idéal serait d’envisager le déploiement d’un gestionnaire de mots de passe au niveau de l’entreprise, pour tous les collaborateurs.
Mais il est aussi important de sensibiliser les utilisateurs à la création de mots de passe forts (ou plutôt désormais de "phrases de passe"). Ils ne devraient, en outre, pas être autorisés à créer des mots de passe courants ou utiliser des mots de passe qui ont déjà été compromis. Comme lors de la connexion d’utilisateurs externes, il est possible là aussi de vérifier chaque nouveau mot de passe sur une liste de mots de passe compromis. Une simple recherche en ligne permettra de trouver les listes à jour.

Et ensuite ?

Tous les attaquants, sauf les plus sophistiqués, sont attirés par la facilité. Et tant qu’il y aura autant de comptes utilisateurs volés et que les utilisateurs réutiliseront leurs mots de passe sur plusieurs comptes, les attaques de ce type se poursuivront sans relâche.

Et, malheureusement, la pandémie mondiale n’a fait qu’aggraver le problème. Avec un nombre record de télétravailleurs et des consommateurs privés de boutiques physiques qui se tournent massivement vers les sites de commerce électronique, nous pouvons nous attendre à voir davantage d’attaques par bourrage d’identifiants sur les sites web des gouvernements, les services de livraison, les e-commerçants, et autres. Il est donc vital de connaître ce type d’attaques et de savoir comment s’en protéger.