Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Une nouvelle étude d’Akamai révèle le coût du « credential stuffing »

mai 2019 par Akamai Ponemon Institute

Les entreprises perdent en moyenne 4 millions de dollars par an à cause des attaques de « credential stuffing », selon une nouvelle étude commandée par Akamai (NASDAQ : AKAM), l’Intelligent Edge Platform conçue pour sécuriser et offrir des expériences Web.

Les attaques par « credential stuffing » jouent sur la probabilité que les individus utilisent le même nom d’utilisateur et le même mot de passe sur plusieurs applications, sites et services. Les cybercriminels se servent de bots qui utilisent les informations de compte volées sur une plateforme pour se connecter à un grand nombre d’autres sites. Une fois qu’ils sont connectés, ils utilisent le compte jusqu’à ce que son propriétaire en soit averti et font souvent des achats frauduleux ou volent des informations confidentielles.

L’étude menée par le Ponemon Institute a constaté une augmentation du nombre et de la gravité des attaques par « credential stuffing ». Les entreprises subissent désormais en moyenne 11 attaques par « credential stuffing » chaque mois. Chaque attaque cible en moyenne 1 041 comptes utilisateur et peut avoir des répercutions coûteuses : indisponibilité des applications, perte de clients ou encore implication des équipes de sécurité informatique. Il en résulte des coûts annuels moyens par entreprise de 1,2 millions $, 1,6 millions $ et 1,2 millions $, respectivement, en plus du coût direct de la fraude.

« Nous sommes désormais habitués à l’idée que des listes d’identifiants et de mots de passe volés circulent sur le dark web », explique Jay Coley, Senior Director - Security Planning and Strategy Akamai Technologies. « Néanmoins, la hausse continue des attaques par « credential stuffing » démontre que le danger est presque illimité. De plus en plus, les cybercriminels utilisent des botnets pour valider ces listes en utilisant les pages de connexion d’autres organisations, élargissant ainsi l’impact d’une attaque. Il est clair que les entreprises ont la responsabilité de prévenir cette pratique afin de protéger leurs clients et leurs employés, mais elles doivent protéger leurs propres intérêts. »

Gestion de la complexité des informations d’identification

La plupart des entreprises ont une surface d’attaque complexe en ce qui concerne les abus d’identifiants. Dans les faits, l’étude révèle que les entreprises ont une moyenne de 26,5 sites Web orientés client en production, fournissant aux bots un grand nombre de points d’entrée. Cette situation est rendue plus complexe encore par la nécessité pour les entreprises de fournir un accès de connexion aux différents types de clients, en particulier les clients sur ordinateur portable ou de bureau (87 %), les navigateurs Web mobiles (65 %), les tiers (40 %) et les utilisateurs d’applications pour mobile (36 %).

La complexité de la surface d’attaque explique en partie pourquoi un tiers des entreprises disent disposer d’une bonne visibilité concernant les attaques par « credential stuffing » (35 %) et pensent que les attaques contre leurs sites Web sont rapidement détectées et bloquées (36 %).

Jay Coley ajoute : « Les sites Web sont de vastes entités qui peuvent comprendre des centaines ou des milliers de pages Web et prendre en charge de nombreux types de clients et de trafic. Il est essentiel que les entreprises maîtrisent l’architecture de leur site Web et comprennent comment les clients parcourent les différentes pages jusqu’à leurs points de terminaison de connexion pour déjouer les attaques par « credential stuffing » et ainsi maintenir les coûts sous contrôle. »

Identification des imposteurs

L’identification des imposteurs est une préoccupation constante des entreprises, dont la majorité interrogée (88 %) pense qu’il est difficile de distinguer les vrais employés ou clients des intrus. Le manque de propriété claire dans ce secteur n’aide pas à relever ce défi. Plus d’un tiers des organisations interrogées (37 %) affirment qu’aucune fonction ne se démarque particulièrement en matière d’identification et de prévention des attaques par « credential stuffing ».

Jay Coley en conclu que « la meilleure façon de battre les bots est de les traiter comme ce qu’ils sont : des machines. La plupart sont loin de se comporter comme de vrais individus, même si leurs méthodes sont de plus en plus sophistiquées. C’est pourquoi les entreprises ont besoin d’outils de gestion de bots pour surveiller les comportements et distinguer les bots des authentiques tentatives de connexion. Au lieu de systèmes de connexion standard qui vérifient simplement si un nom d’utilisateur et un mot de passe correspondent, il faut se diriger vers des combinaisons de touches, des mouvements de la souris ou même l’orientation d’un terminal mobile. Avec un coût potentiel atteignant plusieurs millions, il est plus urgent que jamais d’identifier et de neutraliser les bots. »


Au sujet de l’étude
Le Ponemon Institute a interrogé 544 responsables de la sécurité du site Web de leur entreprise, travaillant dans la sécurité informatique et connaissant le phénomène du « credential stuffing » en Europe, au Moyen-Orient et en Afrique.




Voir les articles précédents

    

Voir les articles suivants