Credential Stuffing : comment s’en protéger ?

Qu’est-ce que le Credential Stuffing ?

Le credential stuffing, ou bourrage d’identifiants en français, consiste à tester un grand nombre de paires d’identifiants et de mots de passe jusqu’à en trouver une qui fonctionne. Ce type de cyberattaque appartient à la catégorie des attaques ciblant les mots de passe, et repose sur le fait que nombreuses sont les personnes à utiliser les mêmes identifiants d’un site à l’autre. Un hacker peut donc exploiter les informations obtenues suite à une fuite de données sur un site populaire et les tester sur d’autres services en ligne jusqu’à réussir à cracker un compte.

Pour mieux comprendre, imaginez qu’un cambrioleur trouve une clé dans le couloir d’un immeuble. Il ne sait pas à quelle porte elle correspond, mais il va tester méthodiquement chaque serrure jusqu’à trouver la bonne. Dans le monde numérique, la clé représente vos identifiants compromis, et chaque serrure est un site sur lequel vous utilisez ces mêmes identifiants.

Est-ce que le Credential Stuffing est dangereux ?

Avec un taux de réussite de seulement 0,1 %, on pourrait penser que le credential stuffing n’est pas si menaçant. Et pourtant, c’est loin d'être le cas. Pourquoi ? Parce que la majorité des hackers automatisent leurs tentatives, ce qui leur permet de tester des milliers, voire des millions de combinaisons différentes en à peine quelques heures.

Faisons le calcul : 0,01  1 000 000 \= 10 000.

10 000, c’est le nombre potentiel de comptes qui pourraient être compromis à cause d’une seule attaque par credential stuffing qui testerait environ un million de combinaisons différentes. Pas vraiment une attaque inoffensive, donc.

Ajoutez à cela une autre donnée inquiétante : selon une étude menée par Google et Harris Poll, près de 65 % des internautes utiliseraient le même mot de passe sur plusieurs sites. Autant de victimes potentielles pour ces attaques par mot de passe qui peuvent avoir de lourdes conséquences.

Où les hackers obtiennent des bases de données ?

On pourrait croire qu’obtenir des bases de données d’identifiants demande du travail. Et pourtant, c’est malheureusement presque aussi simple que de faire ses courses en ligne. Plusieurs options s’offrent aux pirates pour en trouver :

• Pirater des sites ou entreprises pour voler leurs données, par exemple en profitant d’une vulnérabilité informatique de leur site pour effectuer une injection SQL et accéder aux données de leurs clients.  
• Acheter sur le dark web des bases d’identifiants issues de piratages et souvent revendues à prix cassé.  
• Explorer les forums de hacking pour mettre la main sur une combo list (une liste d’identifiants) gratuitement.

Quelles sont les conséquences du Credential Stuffing ?

Le credential stuffing ne se limite pas à quelques désagréments : il peut avoir de graves conséquences, tant pour les personnes dont le compte a été compromis que pour les sites sur lesquels les hackers ont pu pirater des comptes.

Pour les personnes dont le compte a été compromis

• Vol d’abonnements payants : les comptes de services comme Netflix ou Spotify pouvant être piratés puis revendus, privant l’utilisateur légitime de son accès.  
• Perte d’accès à des comptes critiques : les hackers peuvent prendre le contrôle de comptes bancaires, comptes professionnels, ou encore comptes clients e-commerce, entraînant des pertes financières et des risques d’usurpation d’identité.  
• Vol de données personnelles : les informations sensibles (adresses, numéros de téléphone, données financières) associées aux comptes piratés peuvent être utilisées pour des usurpations d’identité ou revendues sur le dark web.  
• Blocage des comptes : les tentatives d’accès répétées des pirates provoquent souvent des verrouillages de comptes, rendant l’accès temporairement impossible pour les utilisateurs légitimes.  
• Pertes financières : les hackers peuvent utiliser les comptes compromis pour réaliser des achats frauduleux, usurper l’identité de leurs victimes et souscrire des emprunts à leur nom, et peuvent même vider leurs comptes bancaires dans certains cas.

Pour les sites et organisations dont des comptes ont pu être piratés

• Atteinte à la réputation et perte de confiance : une attaque réussie expose les données personnelles des utilisateurs, et l'obligation de prévenir les personnes impactées qui en résulte nuit gravement à leur confiance, ternissant l’image de l’entreprise ou du site victime.  
• Pertes financières : ces attaques engendrent des coûts élevés liés à la résolution de l’incident, aux remboursements des utilisateurs touchés et aux pertes d’activité dues à l’indisponibilité potentielle des services.  
• Répercussions juridiques : si les systèmes d’authentification ne respectent pas les normes minimales de sécurité, les organisations risquent des amendes conséquentes infligées par les régulateurs, notamment dans le cadre du RGPD.  
• Vulnérabilité accrue à d’autres attaques : le credential stuffing peut ouvrir la voie à des cyberattaques plus graves, comme une infection par un ransomware, qui bloque l’accès aux données internes ou aux systèmes critiques. Les hackers exigent ensuite une rançon, aggravant encore les pertes financières et opérationnelles.

Comment fonctionne le Credential Stuffing ?

Seules 0,1 à 2 % des tentatives de credential stuffing réussissent. Un taux de réussite des plus faibles, et pourtant, il s’agit d’un des types de cyberattaques les plus répandues. Cela s’explique par le processus méthodique que suivent les pirates pour automatiser leurs attaques :

1. Les hackers commencent par collecter une liste d’identifiants et mots de passe compromis, qu’ils peuvent obtenir suite à une fuite de données massive, ou en échange d’une somme modique sur le dark web. Certaines de ces bases de données sont même disponibles gratuitement sur des forums spécialisés.
2. Les cybercriminels configurent ensuite un botnet pour automatiser leurs attaques et tester leur liste d’identifiants sur des sites stratégiques : banques, plateformes e-commerce, comptes de streaming, comptes professionnels…
3. Le système automatisé permet d’identifier les paires qui fonctionnent. Si le taux de réussite de ce type de cyberattaque est faible, les pirates testent un tel nombre de combinaisons que cela peut tout de même leur permettre de compromettre des milliers de comptes.
4. Les attaquants peuvent ensuite accéder aux comptes compromis et les exploiter à leur guise. Le plus souvent, ils en extraient les données personnelles pour les revendre ou les utiliser lors de nouvelles attaques, ou revendent les comptes d’abonnement crackés sur des plateformes illégales.

Bon à savoir : les professionnels de la cybersécurité comme les Pentesters sont amenés à suivre un processus similaire lors de leurs tests de pénétration ; mais contrairement aux cybercriminels, ils ne cherchent alors pas à nuire à l’organisation affectée, mais à détecter ses vulnérabilités pour pouvoir les corriger.

Exemple concret d’une attaque par credential stuffing

D’octobre à novembre 2016, des hackers ont utilisé la méthode du credential stuffing pour s’attaquer à Uber. Résultat des courses : ils ont pu pirater les comptes de 12 employés qui n’avaient pas activé l’authentification multifactorielle et utilisaient les mêmes identifiants que pour d’autres comptes compromis lors de cyberattaques.

Après avoir corrompu ces comptes, les attaquants ont pu accéder à une base de données d’Uber, et mettre la main sur les coordonnées de près de 3,7 millions de conducteurs et de plus de 32 millions d’utilisateurs de la plateforme. Les pirates ont ensuite eux-mêmes prévenu l’entreprise, et lui ont proposé d’effacer les données volées en échange d’une rançon de 100 000 dollars qu’Uber a payée.

L’affaire aurait pu en rester là, si ce n’est qu’Uber a « oublié » de prévenir les partis affectés par cette fuite de données. L’information a été révélée environ un an plus tard, entachant la réputation de l’entreprise, qui a ensuite été condamnée à payer 148 millions de dollars à la Federal Trade Commission, et 308 000 livres d’amende au Royaume-Uni.

Pourquoi le Credential Stuffing est-elle aussi efficace ?

Si le credential stuffing est l’une des armes privilégiées des hackers, c’est parce que cette technique présente de nombreux avantages :

• Faible coût : les outils de hacking utilisés sont souvent gratuits ou peu coûteux, et les bases de données volées sont disponibles à des prix dérisoires sur le dark web.
• Résultats rapides : en à peine quelques heures, il est possible de tester des milliers d’identifiants sur des dizaines de sites ; même si le taux de réussite est faible, le grand nombre de tentatives permet des gains importants.
• Efficacité garantie : devant le nombre hallucinant de personnes qui réutilisent les mêmes identifiants d’un site à l’autre, en testant un grand nombre de fois, il est quasiment certain de réussir à accéder à au moins quelques comptes.
• Difficiles à détecter : les outils d’automatisation sont de plus en plus sophistiqués et permettent d’imiter le comportement humain, ce qui les rend difficiles à bloquer (connexions depuis des adresses IP variées, temps entre les tentatives qui varie…).
• Rentabilité élevée : une seule attaque réussie peut permettre de réaliser des achats frauduleux, d’accéder à des comptes bancaires ou professionnels, et de revendre des comptes premium à grande échelle.

En bref, si le credential stuffing a autant de succès, c’est parce que cette attaque est rapide, coûte peu cher à réaliser et peut être relativement rentable.

Comment se protéger du Credential Stuffing ?

Deux choses font le succès du credential stuffing : la réutilisation des mots de passe et l’absence de mesures de protection efficaces. Pour vous en protéger, plusieurs solutions s’offrent alors à vous :

• Utilisez des mots de passe uniques et complexes pour chaque compte. Si vous avez peur de ne pas réussir à tous les retenir, utilisez un gestionnaire de mots de passe reconnu et sécurisé.  
• Activez l’authentification multifactorielle dès qu’elle vous est proposée. Cela ajoutera une couche de protection supplémentaire à votre compte, empêchant les hackers de s’y connecter même s’ils parviennent à trouver vos identifiants. Selon Microsoft, cela permettrait même de bloquer jusqu’à 99,9 % des attaques !  
• Activez les alertes de connexion et surveillez régulièrement l’activité de votre compte pour détecter les accès depuis des localisations douteuses.  
• Utilisez des outils comme Have I Been Pwned pour savoir si vos identifiants ont été compromis lors d’une fuite de données.
• Changez vos identifiants, et notamment votre mot de passe, après une fuite de données. Modifiez-les pour les services directement concernés par cette fuite, mais également pour tous vos autres comptes qui utilisent les mêmes identifiants.
• Si vous gérez un site, sécurisez-le grâce à des outils de détection des robots et un pare-feu d’application web qui pourront identifier les schémas d’attaque et les connexions suspectes afin de les bloquer.
• Sensibilisez vos équipes et votre entourage pour leur faire prendre conscience des risques, et les encourager à utiliser des mots de passe uniques et à adopter l’authentification multifactorielle.
• Souscrivez à une assurance cyber-risques. Il en existe pour les entreprises comme pour les particuliers, et être assuré vous permettra de couvrir tout ou partie des pertes financières liées à une cyberattaque, voire d’obtenir une assistance technique en cas d’incident.

Comment devenir un expert en cybersécurité ?

Vous souhaitez aider les entreprises dans leur lutte contre la menace croissante que fait peser la cybercriminalité ? Pour cela, vous devrez développer de solides compétences en cybersécurité. Pour vous y aider, chez Jedha nous vous proposons des bootcamps éligibles au CPF et qui vous rendront rapidement opérationnel :

• Notre formation en cybersécurité pour débutant vous aidera à maîtriser les bases de la discipline et à comprendre ses enjeux.  
• Notre formation pour devenir Pentester vous apprendra à sécuriser une infrastructure IT pour éviter qu’elle ne puisse être victime de credential stuffing  
• Notre formation pour devenir expert en cybersécurité vous transmettra des compétences de pointe et recherchées, faisant de vous un élément indispensable des équipes cyber.

Envie d’en savoir plus ? Découvrez nos cursus en détail dans notre syllabus, et rejoignez-nous lors de notre prochaine Soirée Portes Ouvertes en ligne !

Questions fréquentes à propos du Credential Stuffing

Quelle est la différence entre Credential Stuffing et l’attaque par force brute ?

Le Credential Stuffing utilise des paires d’identifiants volés existantes pour tenter d’accéder à des comptes. En revanche, l’attaque par force brute teste de nombreuses combinaisons de caractères jusqu’à en trouver une qui fonctionne.

Quels sont les outils pour repérer si mon mot de passe a fuité ?

Plusieurs outils vous permettent de vérifier si votre mot de passe a été compromis par une fuite de données :

• Have I Been Pwned vérifie si vos identifiants apparaissent dans des bases de données compromises.  
• CyberNews vous propose un outil sous forme de moteur de recherche : vous y entrez votre mot de passe, et il vous indique dans combien de bases de données volées il figure.  
• Le gestionnaire de mots de passe Google vous aide à gérer vos identifiants, mais vous prévient aussi lorsqu’il les détecte dans une base de données compromise.

Quels sont les exemples connus de fuite de données ?

• En 2012, 68 millions d’identifiants et de mots de passe Dropbox ont fuité et ont été mis à disposition sur Internet, permettant d’accéder aux comptes d’un grand nombre d’utilisateurs.
• En 2013, la totalité des comptes Yahoo ont été compromis, exposant les données de plus de trois milliards de personnes.
• En 2021, 90 % des données utilisateurs de LinkedIn ont été siphonnées pour être revendues sur le dark web. Le fichier contenait des informations sur plus de 700 millions de personnes, incluant leur numéro de téléphone, leur adresse postale, voire même leur salaire et leur localisation géographique !