Les reprises de compte sont un scénario cauchemardesque pour tout le monde. Le fait que quelqu'un d'autre ait accès à vos finances ou à vos données les plus sensibles est extrêmement stressant et peut avoir un impact sur votre vie entière. Imaginez que quelqu'un vide votre compte en banque ou prenne des cartes de crédit à votre nom.
Il incombe à chacun de s'assurer qu'il est protégé et qu'il ne tombe pas dans le piège des attaques de type "credential stuffing". Il est essentiel de définir des mots de passe forts et uniques et de surveiller étroitement vos données pour vous protéger contre les attaques.
Qu'est-ce que le "credential stuffing" ?
Les criminels utilisent des noms d'utilisateur et des mots de passe volés (souvent à la suite de violations de données antérieures) pour tenter de s'introduire dans des comptes en ligne. Comme de nombreuses personnes réutilisent leurs mots de passe sur différentes plateformes, un seul identifiant donne souvent accès à plusieurs comptes. C'est exactement ce sur quoi comptent les pirates pour cibler leurs activités.
Les cybercriminels utilisent des outils automatisés ou "bots" pour lancer des milliers de tentatives de connexion à la fois, en touchant autant de sites que possible.
Ces robots sont rapides et programmés pour imiter le comportement humain réel, ce qui les rend plus difficiles à repérer et à bloquer. Un seul compte piraté peut conduire au vol d'argent et à l'usurpation d'identité.
Comment fonctionnent les attaques de type "credential stuffing" (bourrage de données d'identification)
Le processus de credential stuffing consiste à acquérir des données volées et à les utiliser pour tenter d'accéder à des comptes bancaires ou à d'autres sites sécurisés. Les pirates trouvent (ou achètent) des données personnelles et automatisent ensuite le processus de tentatives de connexion pour essayer de se connecter à des comptes.
Collecte de données
Tout commence par des données volées. Les pirates n'ont pas toujours besoin de s'introduire dans un site pour obtenir des mots de passe, car il y en a déjà beaucoup qui circulent sur l'internet. De nombreux identifiants volés se retrouvent sur le dark web - une partie cachée de l'internet où les cybercriminels peuvent acheter et vendre des données piratées.
Ces identifiants proviennent souvent de violations de données antérieures et sont librement échangés ou vendus en grandes quantités.
Certaines collections, comme la tristement célèbre "Collection #1-5", contiennent des milliards de noms d'utilisateur et de mots de passe. C'est une mine d'or pour les cybercriminels, et tout ce qu'il faut, c'est une correspondance sur une autre plateforme.
Tentatives de connexion automatisées
Une fois que les pirates disposent d'une réserve d'informations d'identification volées, l'étape suivante consiste à les tester. C'est là que l'automatisation entre en jeu.
Les attaquants lancent des tentatives de connexion à grande échelle sur plusieurs sites web, en vérifiant si l'une des combinaisons volées fonctionne toujours. Ces robots sont intelligents et certains utilisent des navigateurs sans tête (un navigateur web qui fonctionne sans interface utilisateur graphique, en arrière-plan, et qui est contrôlé par programme - typiquement pour des tâches automatisées) ou changent d'adresse IP pour tenter d'éviter d'être détectés. Ils ajoutent même des délais entre les tentatives de connexion pour tromper les systèmes et leur faire croire qu'il s'agit d'un utilisateur normal qui se connecte, évitant ainsi les suspicions ou les protocoles de sécurité.
Reprise de compte
Lorsque les informations d'identification correspondent et que la connexion est réussie, les pirates prennent le contrôle total du compte, par exemple le compte de courrier électronique.
À partir de là, ils peuvent tenter de vider les comptes bancaires, de voler des données privées ou même de bloquer l'accès au véritable propriétaire. Les pirates ont des approches différentes selon les comptes qu'ils peuvent s'approprier. S'ils ne parviennent pas à pénétrer dans votre banque et à la vider, ils peuvent toujours utiliser l'accès au compte de messagerie pour commettre d'autres délits, comme l'envoi de messages d'hameçonnage à d'autres comptes pour les pirater à leur tour. Ils peuvent également vendre les comptes compromis à d'autres criminels. En bref, une seule connexion réussie peut se transformer en un véritable gâchis pour l'utilisateur.
Remplissage de données d'identification vs. force brute vs. pulvérisation de mots de passe
Ces trois types d'attaques visent tous les mots de passe, mais les méthodes diffèrent.
Remplissage de documents d'identité
Le credential stuffing s'appuie sur des mots de passe réels, précédemment volés. Les pirates ne devinent pas, ils utilisent des données existantes. Le succès de l'attaque dépend du nombre de personnes qui ont réutilisé leurs mots de passe d'une plateforme à l'autre.
Attaques par force brute
La force brute est plutôt un jeu de devinettes. L'attaquant essaie des combinaisons de mots de passe aléatoires à plusieurs reprises jusqu'à ce que l'une d'entre elles finisse par fonctionner. Il s'agit d'une méthode automatisée, mais plus lente et plus facile à repérer, car elle implique généralement de nombreuses tentatives infructueuses à partir de la même adresse IP.
Pulvérisation du mot de passe
La pulvérisation de mots de passe est un mélange entre la force brute et le bourrage d'informations. Les pirates essaient des mots de passe courants, tels que "password123" ou "123456", sur un grand nombre de comptes tels que ceux qu'ils ont trouvés dans la Collection #1. Cette méthode est sournoise car elle permet d'éviter les systèmes de détection qui signalent les tentatives répétées et infructueuses sur un seul compte.
Pourquoi le bourrage d'identité est-il une menace croissante ?
Le bourrage de données d'identification s'aggrave. L'une des raisons est l'énorme quantité d'informations d'identification volées disponibles en ligne. Des collections telles que celles mentionnées plus haut offrent aux attaquants une réserve inépuisable d'identifiants potentiels pour tester et alimenter leurs systèmes. Tant que les gens continueront à réutiliser leurs mots de passe, le risque restera élevé.
Un autre problème est la technologie qui sous-tend ces attaques. Les robots sont de plus en plus perfectionnés.
Des outils tels que les navigateurs sans tête leur permettent de se comporter comme de vrais utilisateurs, et l'usurpation d'adresse IP les aide à échapper aux systèmes de détection. En intégrant des plugins et en personnalisant les navigateurs, les attaquants peuvent les affiner pour tenter d'imiter le comportement des utilisateurs. Certains robots peuvent même résoudre des défis CAPTCHA ou imiter les mouvements de la souris. Pour contrer ce phénomène, les sites web peuvent utiliser l'empreinte digitale de l'appareil, qui suit le navigateur de l'utilisateur, le type d'appareil et les modèles de comportement afin de détecter les connexions suspectes et de bloquer les attaques automatisées.
De plus, le nombre de comptes en ligne a explosé. La plupart d'entre nous possèdent des dizaines d'identifiants. Cela signifie plus de cibles pour les attaquants et plus d'endroits où les informations d'identification peuvent être volées.
Les habitudes en matière de mots de passe n'ont pas suivi l'évolution des menaces. De nombreuses personnes utilisent encore des mots de passe simples et faciles à deviner, ou le même mot de passe pour plusieurs sites. Selon une étude, 84 % des utilisateurs utilisent des mots de passe risqués pour leurs comptes en ligne. Il suffit d'une faille pour qu'un pirate ait soudain accès à tout, des courriels aux comptes financiers.
Exemples concrets d'attaques de type "credential stuffing" (bourrage de données d'identification)
L'usurpation d'identité n'est pas qu'une menace théorique. Elle a déjà provoqué le chaos chez de grands noms de différents secteurs d'activité.
Un exemple très médiatisé concerne la banque HSBC, où des pirates ont utilisé des identifiants volés pour accéder aux comptes des clients. Cette violation a permis un accès non autorisé à des données financières et la société a même dû suspendre l'ensemble de son processus de connexion en ligne le temps que les choses soient réglées. Pas moins de 14 000 clients ont été touchés.
Sur Reddit, les utilisateurs se sont retrouvés soudainement bloqués hors de leurs comptes après qu'une vague d'attaques par bourrage d'identifiants ait frappé la plateforme. Reddit a dû demander aux utilisateurs de réinitialiser leurs mots de passe pour pouvoir accéder à leurs comptes.
Un autre cas important est celui de TurboTax, où des attaquants ont utilisé des identifiants volés pour accéder à des informations fiscales lors d'une attaque en 2019. Il ne s'agissait pas seulement de noms d'utilisateur et de mots de passe, car une fois à l'intérieur, les criminels pouvaient accéder aux numéros de sécurité sociale et à d'autres données personnelles sensibles.
Nintendo a également fait l'objet d'une violation massive, des milliers de comptes Nintendo Network ID ayant été compromis. Les attaquants ont réussi à s'introduire dans les comptes en utilisant des identifiants réutilisés, ce qui a entraîné des achats non autorisés et des problèmes de confidentialité pour les joueurs. Ce sont 300 000 comptes qui ont été compromis.
L'impact du bourrage de crèmes
Les attaques de type "Credential stuffing" peuvent entraîner de graves problèmes. Il est possible que les victimes se voient refuser l'accès à leurs comptes et que de l'argent soit volé directement ou par le biais d'autres méthodes frauduleuses telles que l'utilisation de leurs coordonnées pour demander des cartes de crédit.
Perte financière
L'une des conséquences les plus immédiates et les plus visibles d'une attaque par " credential stuffing " est le préjudice financier qu'elle peut causer. Lorsqu'un pirate accède à un compte bancaire ou de paiement, il ne faut pas longtemps pour que les fonds commencent à disparaître.
Les victimes sont souvent confrontées à des semaines d'allers-retours avec leurs banques ou leurs fournisseurs de cartes pour essayer de régler le problème et de récupérer l'argent. Cette situation peut être source d'un stress immense.
Vol d'identité
Au-delà de l'argent, l'usurpation d'identité ouvre la porte à quelque chose d'encore plus dangereux : le vol d'identité.
Si les attaquants parviennent à mettre la main sur suffisamment de données personnelles, ils peuvent se faire passer pour quelqu'un d'autre. Ils peuvent demander de nouveaux comptes ou même commettre des fraudes ou d'autres délits en utilisant le nom de quelqu'un d'autre. Les dommages causés par l'usurpation d'identité peuvent suivre une personne pendant des années et il faut souvent beaucoup de temps pour les réparer.
Atteinte à la Privacy
Il y a aussi la question de l'espace personnel. Lorsque des pirates pénètrent dans un compte, ils ne voient pas seulement des chiffres et des mots de passe, ils accèdent à des détails privés. Des photos privées et des données personnelles peuvent être divulguées. Il s'agit là d'une grave atteinte à la vie privée. L'idée que quelqu'un puisse parcourir des conversations ou des fichiers sans autorisation est troublante et déstabilisante pour toutes les personnes concernées.
Comment les utilisateurs peuvent-ils se protéger contre le bourrage d'informations d'identification ?
Les utilisateurs ont besoin de protections solides contre le bourrage d'informations d'identification, y compris des mots de passe sains et d'autres méthodes telles que l'authentification à deux facteurs ou l'authentification à plusieurs facteurs.
L'utilisation d'un VPN (Virtual Private Network) peut ajouter une couche supplémentaire de sécurité en masquant votre adresse IP, ce qui rend plus difficile pour les pirates de suivre votre activité en ligne ou de vous cibler avec des attaques de "credential stuffing". L'utilisation de mots de passe uniques pour chaque site ou service peut sembler fastidieuse, mais les gestionnaires de mots de passe facilitent les choses.
Le 2FA est également possible avec de nombreux comptes en ligne. Utilisez-le partout où vous le pouvez. Même si quelqu'un parvient à voler un mot de passe, le 2FA constitue un obstacle supplémentaire. Il s'agit généralement de saisir un code envoyé sur un téléphone ou par courrier électronique, ce qui rend plus difficile pour les pirates de s'introduire dans votre compte sans se faire remarquer (à moins qu'ils n'aient déjà accès à votre compte de courrier électronique).
Il permet également de rester informé. L'analyseur d'empreinte numérique offre une surveillance duDark Web et plus encore pour vous permettre de vérifier si leur adresse électronique ou leurs informations d'identification ont été exposées lors d'une violation de données connue. C'est un moyen utile de rester à l'affût des menaces et de savoir quand il est temps de mettre à jour les mots de passe, et il est facile de rechercher votre adresse électronique et de voir où elle apparaît dans les fuites.
Articles liés :
Votre numéro de sécurité sociale est déjà exposé - et maintenant ?
Je pense que mon téléphone est piraté | Aide ! Signes d'un téléphone piraté