Présenté par Gilad David Maayan
Qu'est-ce que le “Credential Stuffing” ?
.png)
Le bourrage d'identité est une type de cyberattaque dans lequel les attaquants utilisent des combinaisons de nom d'utilisateur et de mot de passe volées ou divulguées d'un site web ou d'un service pour obtenir un accès non autorisé à d'autres sites web ou services où les mêmes informations d'identification ont pu être réutilisées.
Cette attaque repose sur le fait que de nombreuses personnes utilisent les mêmes noms d'utilisateur et mots de passe sur plusieurs comptes.
Comment fonctionne une attaque de type “Credential Stuffing” ?
Voici un aperçu, étape par étape, du fonctionnement d'une attaque typique de credential stuffing :
Obtention des informations d'identification : Les attaquants commencent par acquérir un grand nombre de combinaisons de noms d'utilisateur et de mots de passe à partir de diverses sources, telles que des violations de données, des fuites, des attaques par hameçonnage ou d'autres moyens. Ces informations d'identification sont souvent échangées ou vendues sur le dark web ou sur des forums de piratage.
Préparation de l'attaque : Les attaquants utilisent généralement des outils automatisés ou des robots pour rationaliser le processus de test des informations d'identification volées sur plusieurs sites web ou services. Ils peuvent également créer des scripts personnalisés pour cibler des plateformes ou des sites web spécifiques.
Lancement de l'attaque : À l'aide d'outils automatisés, les attaquants tentent de se connecter à divers sites web ou services avec les informations d'identification volées. Ce processus est généralement exécuté à un volume et à une vitesse élevés afin d'augmenter les chances de trouver une correspondance.
Identifier les connexions réussies : Lorsqu'une connexion est réussie, les attaquants obtiennent un accès non autorisé au compte de l'utilisateur. Cet accès peut être utilisé à diverses fins malveillantes, telles que le vol d'informations personnelles, la réalisation de transactions financières ou la compromission d'autres comptes liés au compte ciblé.
Exploitation du compte compromis : Une fois qu'un compte est compromis, les attaquants peuvent vendre l'accès au compte à d'autres criminels, l'utiliser pour d'autres attaques ou récolter des informations sensibles à des fins d'usurpation d'identité ou d'autres activités frauduleuses.
Comment se défendre contre le bourrage de données d'identification (Credential Stuffing)
La défense contre les attaques de credential stuffing nécessite une approche à plusieurs niveaux qui combine diverses mesures de sécurité afin de minimiser le risque d'accès non autorisé à un compte. Voici quelques stratégies efficaces :
Mettre en œuvre l'analyse comportementale
L'analyse comportementale consiste à surveiller et à analyser les modèles de comportement des utilisateurs afin d'identifier les activités suspectes susceptibles d'indiquer une attaque par saturation des données d'identification. Il peut s'agir de suivre les tentatives de connexion, les données de localisation, les adresses IP et les informations sur les appareils.
En identifiant les écarts par rapport au comportement normal de l'utilisateur, les systèmes de sécurité peuvent signaler les tentatives de connexion potentiellement malveillantes et prendre les mesures qui s'imposent, par exemple exiger une vérification supplémentaire ou bloquer complètement la tentative.
Éviter d'utiliser des adresses électroniques comme identifiants
L'utilisation d'une adresse électronique comme identifiant d'utilisateur peut permettre aux pirates de cibler plus facilement les comptes, car les adresses électroniques sont souvent plus faciles à obtenir et plus susceptibles d'être réutilisées sur plusieurs comptes. Il est préférable d'encourager les utilisateurs à créer des identifiants uniques, non basés sur l'adresse électronique, afin de réduire la probabilité que des pirates devinent les informations d'identification correctes.
Utiliser l'authentification multifactorielle (MFA)
L'authentification multifactorielle est une mesure de sécurité qui exige des utilisateurs qu'ils fournissent au moins deux formes d'identification pour accéder à un compte. Il peut s'agir de :
- Quelque chose que l'utilisateur connaît (mot de passe).
- Quelque chose que l'utilisateur possède (un jeton physique ou un appareil mobile).
- Quelque chose que l'utilisateur est (données biométriques, telles que les empreintes digitales ou la reconnaissance faciale).
En exigeant des étapes de vérification supplémentaires, l'AMF rend beaucoup plus difficile pour les attaquants d'obtenir un accès non autorisé à des comptes, même s'ils ont le nom d'utilisateur et le mot de passe corrects.
Limiter le débit des sources de trafic non résidentiel
La limitation du débit consiste à restreindre le nombre de tentatives de connexion autorisées à partir d'une adresse IP ou d'une plage d'adresses spécifiques dans un laps de temps donné. En limitant le débit des sources de trafic non résidentielles, les organisations peuvent limiter le nombre de tentatives de connexion effectuées par des robots ou des outils automatisés utilisés dans les attaques par saturation. Cela permet de prévenir les attaques automatisées à grande échelle tout en permettant aux utilisateurs légitimes d'accéder à leurs comptes.
Utiliser un centre d'opérations de sécurité (SOC) géré
Si l'organisation ne dispose pas de son propre centre d'opérations de sécurité (SOC) – centre centralisé chargé de surveiller, de détecter, d'analyser et de répondre aux incidents de cybersécurité – il existe aujourd'hui de nombreuses possibilités d'externaliser cette fonctionnalité auprès de fournisseurs externes. Les services SOC gérés, tels que la détection et la réponse gérées (MDR), jouent un rôle crucial dans la protection contre de nombreux types de cyberattaques, y compris le bourrage d'informations d'identification (credential stuffing).
Un SOC géré peut contribuer à la protection contre le credential stuffing en fournissant ces capacités :
Renseignements sur les menaces : Les SOC recueillent et analysent des informations sur les menaces provenant de diverses sources, telles que les flux de sécurité, les rapports de recherche et les collaborations industrielles. Ces renseignements permettent d'identifier de nouveaux modèles d'attaques de credential stuffing, des outils et des acteurs connus de la menace, ce qui permet au SOC d'adapter de manière proactive les mesures de sécurité afin d'atténuer les attaques potentielles.
Surveillance et détection : Un SOC surveille en permanence le trafic réseau, les journaux et le comportement des utilisateurs pour détecter les signes d'attaques de credential stuffing. En utilisant des analyses avancées, des règles de corrélation et des techniques d'apprentissage automatique, le SOC peut identifier des anomalies ou des schémas indiquant un bourrage d'informations d'identification, tels qu'un taux élevé de tentatives de connexion infructueuses ou de multiples tentatives de connexion à partir de différents emplacements géographiques.
Réponse aux incidents : Lorsqu'une attaque potentielle de credential stuffing est détectée, le SOC initie rapidement une réponse pour contenir et atténuer l'attaque. Il peut s'agir de bloquer les adresses IP associées à l'attaque, de désactiver les comptes des utilisateurs concernés ou de mettre en œuvre des mesures de sécurité supplémentaires telles que l'authentification multifactorielle (MFA).
MITRE ATT&CK
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissances mondialement accessible sur le comportement et les tactiques des cyberadversaires, détaillant les différentes étapes d'une cyberattaque, de l'accès initial au système à l'exfiltration des données.
Bien que MITRE ATT&CK ne protège pas directement contre les attaques de credential stuffing, il fournit des informations et un contexte précieux que les organisations peuvent utiliser pour mieux comprendre, détecter et se défendre contre de telles attaques.
En exploitant la base de connaissances fournie par MITRE ATT&CK, les organisations peuvent améliorer leur posture de sécurité globale et accroître leur résilience contre le credential stuffing et d'autres cybermenaces.
Conclusion
En conclusion, les attaques par ” credential stuffing ” représentent une menace importante pour les individus et les organisations, car elles exploitent la tendance généralisée à réutiliser les noms d'utilisateur et les mots de passe sur plusieurs comptes. En obtenant un accès non autorisé aux comptes, les attaquants peuvent voler des données sensibles, effectuer des transactions frauduleuses ou compromettre d'autres comptes liés.
Pour protéger l'organisation contre ces attaques, il est essentiel de mettre en œuvre une approche de sécurité multicouche qui inclut l'analyse comportementale, les identifiants uniques, l'accès multifonctionnel et la limitation des taux. En restant vigilantes et en adoptant les meilleures pratiques de sécurité les plus récentes, les organisations peuvent minimiser efficacement l'impact potentiel de ces attaques et sécuriser leurs actifs précieux.
Gilad David Maayan est un rédacteur spécialisé dans les technologies qui produit un contenu de référence qui élucide les solutions techniques pour les développeurs et les responsables des technologies de l'information.
Image : freepik
Tu pourrais aussi lire :
Comprendre le cycle de vie de la réponse aux incidents:
