Attaques par credential stuffing : anticiper pour mieux se protéger

Les cyberattaques ont évolué depuis l'avènement des transactions en ligne, il y a près de 25 ans, puisque les attaquants ne cessent d'intensifier et d'affiner leurs techniques pour protéger leurs sources de revenus illicites. 

Les attaques d’automatisation axées sur les prises de contrôle de comptes et autres attaques par la force brute sont à l’origine de fraudes et d’abus qui se soldent par des dizaines de milliards d’euros de pertes matérielles chaque année, et par des coûts totaux jusqu’à trois fois plus élevés. 

Evolution des compromissions de comptes

Historiquement, les premières attaques par force brute consistaient à deviner des mots de passe en série pour tenter de trouver le bon. Cette méthode aussi longue que coûteuse en termes de calculs, peu efficace et facile à maîtriser, permettait de détecter les pics d’activité et de les bloquer. Les listes de mots de passe sont ensuite devenues populaires et au lieu de se contenter de deviner les mots de passe, les attaquants disposaient de vastes listes de mots de passe courants et essayaient de les utiliser par la force brute.

L’une des principales évolutions a été l’utilisation de botnets et la sophistication des attaquants grâce à des outils automatisés. Traditionnellement, les attaques de type force brute sont faciles à atténuer, mais une fois disséminées sur un grand nombre de bots – où chaque bot possède sa propre adresse IP et où la plupart sont recyclées à partir d’IP résidentielles (et non de listes noires) – un bot qui envoie cinq requêtes toutes les dix minutes n’a pas l’air si suspect. Multipliez cela par dix mille, et vous atteignez un certain résultat, et le site visé ne s’en rend pas vraiment compte.

Paysage actuel de la fraude

L’utilisation d’informations d’identification volées est l’une des méthodes les plus courantes employées dans les violations de données détectées. Le rapport d’enquête 2019 de Verizon sur les violations de données indique qu’environ 70% des violations observées utilisent des identifiants volés. Ce ne seront pas toutes des attaques par credential stuffing, mais il est probable que ce soit le cas pour la majorité d’entre elles. On parle de credential stuffing lorsque des attaquants se servent d’informations d’identification qui ont été divulguées lors d’une fuite de données et les essayent en masse contre d’autres sites web pour trouver des combinaisons qui sont réutilisées, afin de pouvoir s’emparer de comptes d’utilisateurs. Exemple récent de ce type d’attaques, la découverte récente du vol de centaines de milliers d’identifiants d’utilisateurs Spotify parmi lesquels figureraient plus de 40 000 comptes d’utilisateurs français.

Les attaquants le font de manière automatisée, ce qui leur permet de tester des milliers d’identifiants au fil du temps. Ce n’est qu’une question de chiffres. Si 0,01% d’une liste massive sont réutilisés sur un deuxième site web, il est toujours possible de prendre le contrôle d’un nombre important de comptes. Il existe plusieurs facteurs d’attaques allant de l’authentification à facteur unique aux listes d’informations d’identification connues et piratées, qui permettent aux cybercriminels de parvenir à leurs fins. En outre, de nombreuses études ont démontré que la plupart des individus réutilisent leurs mots de passe. Sans cela, les attaques par credential stuffing ne fonctionneraient pas. Pour aller plus loin, certains cybercriminels monétisent leurs attaques en vendant simplement les comptes sur le dark web, mais quelques-uns vont plus loin. Ils revendent des abonnements à des plateformes de diffusion de contenu en continu à un prix inférieur au prix de détail, par exemple ou ciblent une édition limitée de baskets, ou tout autre objet collector, s’emparent de centaines de comptes d’utilisateurs et achètent l’ensemble de l’offre pour la vendre sur des marchés tiers, cela s’appelle le sneaker botting. Enfin, les programmes de fidélisation des entreprises et les cartes-cadeaux peuvent également se révéler lucratifs pour les attaquants qui ciblent les comptes de fidélité et s’approprient les points générés.

In fine, tout est une question d’ampleur. Tandis que les attaques automatisées consistent à arracher les fruits les plus facilement accessibles au plus grand nombre d’arbres possible, les attaques manuelles sont davantage ciblées. Celles-ci s’appuient sur l’ingénierie sociale et piègent les individus qui occupent des postes de haut niveau ou disposent d’actifs de grande valeur pour obtenir des gains importants.

La manière traditionnelle d’atténuer une attaque de force brute consiste à limiter le débit. Comme ces attaques génèrent un trafic important, il est possible de définir des règles comme le blocage d’une adresse IP si elle envoie plus de 50 requêtes par minute. Cependant, avec le credential stuffing, les attaquants utilisent des botnets pour contourner la limitation du débit. C’est donc là que les défenses doivent être plus sophistiquées pour analyser le comportement, et la sécurité doit être envisagée par couches. Ainsi, un important pic dans les échecs de connexions est probablement le signe d’une attaque par credential stuffing. La génération de trafic à partir d’adresses IP associées à des cybercriminels connus permet de bloquer ces tentatives d’attaques ou de mettre en place une sorte de CAPTCHA pour atténuer l’activité des bots. Ces premières couches de défense sont indispensables. Pour aller plus loin, une bonne hygiène de sécurité, comme la recherche de mots de passe connus et piratés dans sa base d’utilisateurs, constitue un deuxième niveau de défense. L’authentification à plusieurs facteurs (MFA) constitue alors une troisième couche de défense. Avoir les trois permet de minimiser les frictions pour les utilisateurs en déclenchant la MFA uniquement lorsqu’une action est jugée suspecte.

Qui est responsable ?

Une idée répandue veut que les attaques par credential stuffing ne relèvent pas nécessairement de la responsabilité de l’entreprise. Ce ne sont pas leurs systèmes qui ont été compromis, mais les comptes des utilisateurs, et la faute incombe donc à ces derniers qui ont réutilisé les mots de passe. Toutefois, les réglementations sur la protection des données telles que le RGPD démontrent explicitement qu’il incombe à l’entreprise de protéger les informations des utilisateurs – et ce sont aussi les attentes des consommateurs. D’après une enquête de Cisco, 90% des consommateurs estiment que la façon dont leurs données sont traitées reflète la façon dont ils sont eux-mêmes traités en tant que clients. Or, on a longtemps attribué la responsabilité des compromissions de comptes aux utilisateurs et non aux entreprises dont ils faisaient partie. Pourtant, c’est un travail de concert pour lutter contre la fraude, les équipes informatiques doivent également pouvoir surveiller les activités afin de détecter tout mouvement inhabituel et mettre en place les outils adaptés pour se prémunir contre toute attaque.

La plupart des problèmes qui facilitent les attaques par credential stuffing existent depuis longtemps. Le véritable changement réside dans le traitement de ces attaques, car elles vont gagner en importance. C’est pourquoi il est nécessaire d’adopter des techniques d’atténuation comme la MFA, qui introduisent plus de friction et les rendent plus performantes. Dans un monde idéal, un consommateur ne se heurte qu’occasionnellement à des frictions plus importantes lorsque c’est nécessaire. Ainsi, au lieu de déclencher la MFA à chaque fois qu’un utilisateur se connecte, il est préférable de ne la déclencher qu’en cas d’activité suspecte. Par exemple, une entreprise française dont la majorité des utilisateurs se trouvent en France ou en Europe, qui constaterait des pics de trafic importants en provenance du Vietnam ou de la Thaïlande, devrait demander une vérification supplémentaire.

Ces attaques consistent en une lente et insidieuse compromission des comptes d’utilisateurs dont la victime n’a le plus souvent pas conscience. Les entreprises commencent tout juste à s’en rendre compte aujourd’hui, car elles font face à des conséquences très concrètes et immédiates. Les entreprises doivent plus que jamais disposer des ressources adéquates pour aider leurs CISO et équipes de sécurité à garder une longueur d’avance même si les menaces évoluent.