L'attaque des robots : comment combattre le credential stuffing

À l'heure où l'on fournit de plus en plus d'informations critiques aux sites internet, les pirates trouvent de nouvelles manières d'accéder à ces données. Zoom sur l'une de ces pratiques.

Les hackers mettant en œuvre le credential stuffing procèdent comme suit : ils achètent ou se procurent des listes d'identifiants volés (sur le darknet ou en utilisant les bons mots clé sur Google) puis les chargent sur un botnet qui lance des attaques de tentative de connexion à grande échelle contre des entreprises opérant dans quasiment tous les secteurs d'activité. En effet, ces bots malveillants peuvent exécuter plusieurs centaines de milliers de tentatives de connexion en appliquant la stratégie "many to many", qui consiste à utiliser une multitude de ressources d'attaque pour cibler simultanément un grand nombre d'applications web.

Une fois les identifiants/mots de passe validés sur ces sites, les hackers peuvent accéder aux comptes et effectuer de nombreuses actions frauduleuses telles que le vol de données, l’usurpation d’identité des clients ou encore le piratage de comptes, par exemple.

Malheureusement, on constate que les contrôles de sécurité standard ne suffisent plus pour détecter ces cyberattaques. Les bots utilisés pour le credential stuffing  et la fraude sur le web comptent parmi les techniques les plus sophistiquées. Même s'il est relativement simple d'arrêter les pirates amateurs et les outils de piratage disponibles en téléchargement (comme Sentry MBA par exemple), les fraudeurs trouvent toujours un moyen de les éviter en utilisant des bots qui imitent un comportement humain. Le blocage IP, la limitation de débit, les tests JavaScript et l'empreinte de navigateur ne suffisent plus à arrêter ce type d'attaque. Lorsqu’on sait qu’un compte piraté a 17 fois plus de valeur qu'un numéro de carte de crédit volé, on ne peut que craindre une explosion du credential stuffing généralisée dans le monde. 

Selon une étude récente menée aux Etats-Unis par Ponemon Institute pour le compte d'Akamai, 54% des personnes interrogées indiquent que les attaques de type credential stuffing non seulement se multiplient, mais sont également de plus en plus graves. 68% des sondés estiment avoir peu de visibilité sur ce type d’attaque tandis que 70% d'entre eux jugent que les solutions existantes ne permettent pas de prévenir et de les contenir.

Alors qu’aux Etats-Unis de nouveaux métiers émergent au sein de la DSI tels que des responsables de la Fraude, sur le vieux continent, les entreprises ne semblent pas encore suffisamment sensibilisées au problème. Pourtant, en cas de violation de données et de vol d'identifiants, occasionnant une attaque credential stuffing et éventuellement des piratages de compte, les conséquences peuvent être dramatiques pour les entreprises telles que des pertes financières, une détérioration de l’image de marque, des sanctions pénales ou la perte de confiance des clients. C’est notamment le cas d’Uber qui révéla avoir subi une cyberattaques fin 2016, occasionnant le vol d'informations personnelles de 57 millions d'utilisateurs dans le monde. Un énième scandale pour la firme américaine à la réputation déjà bien entamée. Par ailleurs, une institution financière a rapporté que le coût d'un piratage de compte causé par le credential stuffing peut se chiffrer de 1 500 à 2 000 dollars par compte.

D’après l’étude Ponemon citée précédemment, on constate aujourd’hui que les entreprises ne disposent pas de solutions ou de technologies suffisantes pour empêcher ou contenir ces attaques : lors d'un test d'une heure, seules 64 % des tentatives de connexion par des botnets ont pu être détectées comme membre d’un botnet déjà détecté.

Des recherches de pointe sur la sécurité web ont montré que le trafic des bots peut représenter jusqu’à 60% du trafic web total, mais que seulement 28% de l’ensemble du trafic des bots est aujourd’hui déclaré. Les solutions actuelles de sécurité en ligne ne parviennent pas à détecter les bots participant à des attaques de credential stuffing car ils lancent des attaques depuis un réseau très distribué sur une courte période donnée et sont donc perçus comme légitimes. Sans oublier qu'une grande partie des attaques ciblent les API mobiles, qui n'offrent pas le même niveau de sécurité que les autres applications web…

Pour parvenir à réduire les impacts négatifs des bots sur l'infrastructure IT, il convient de procéder à l'identification et au classement des bots, puis de leur appliquer un traitement différencié sur votre site, en fonction de leur type. Akamai recommande la mise en place d'une stratégie de gestion, et non d'une stratégie de blocage des bots. Les détenteurs de sites web ont intérêt à appliquer différentes stratégies de gestion en fonction de la catégorie de bots, de leur attrait et de la charge qu'ils font peser sur l'infrastructure. L'adoption d'une approche de gestion (plutôt que de blocage) des bots web permettra en outre de réduire leurs coûts opérationnels grâce à la réduction de leur infrastructure et des dépenses informatiques liées à la gestion du trafic de bots supplémentaires. Les entreprises pourront ainsi optimiser l'expérience client, conserver leur avantage concurrentiel et lutter contre les activités frauduleuses.