Le « password spraying » et le « credential stuffing » ont beaucoup en commun, mais la principale différence réside dans la façon dont l’attaque est exécutée. Avec le credential stuffing, le cybercriminel dispose déjà d’un ensemble d’identifiants de connexion vérifiés, tandis qu’avec le password spraying, le cybercriminel doit deviner les identifiants de connexion en faisant correspondre une liste de noms d’utilisateur avec un mot de passe couramment utilisé.
Poursuivez votre lecture pour en savoir plus sur le password spraying et le credential stuffing, la différence entre les deux et comment vous protéger contre ces attaques.
Qu’est-ce que le « password spraying » ?
Le password spraying est un type d’attaque par force brute dans lequel les cybercriminels tentent de jumeler les mots de passe couramment utilisés avec une liste de noms d’utilisateur vérifiés jusqu’à ce qu’ils obtiennent une correspondance. Avec le password spraying, les cybercriminels peuvent éviter les limites de tentative de connexion et les verrouillages de comptes en utilisant le même mot de passe sur différents comptes. Ils exploitent les utilisateurs qui ont de mauvaises habitudes en matière de mot de passe, telles que l’utilisation de mots de passe faibles et prévisibles pour protéger leurs comptes en ligne.
Le password spraying commence par un cybercriminel qui acquiert une liste de noms d’utilisateur à partir de répertoires en ligne, du dark Web ou d’autres sources ouvertes. Les cybercriminels rassemblent ensuite une liste de mots de passe couramment utilisés et exécutent un programme automatisé pour choisir un mot de passe à coupler avec la liste de noms d’utilisateur jusqu’à ce qu’ils obtiennent autant de correspondances que possible. Une fois que le cybercriminel a parcouru la liste de noms d’utilisateur avec le premier mot de passe, il répète le processus avec la même liste de noms d’utilisateur, mais avec un mot de passe différent.
Qu’est-ce que le credential stuffing ?
Le credential stuffing est un autre type d’attaque par force brute dans lequel un cybercriminel vole ou achète un ensemble d’identifiants de connexion vérifiés et l’utilise pour accéder à plusieurs comptes. Les cybercriminels s’appuient sur la réutilisation du même mot de passe pour plusieurs comptes. Le rapport 2022 sur les pratiques en matière de mot de passe aux États-Unis a montré l’efficacité du credential stuffing, car 56 % des utilisateurs réutilisent leurs mots de passe.
Les cybercriminels obtiennent souvent l’ensemble des identifiants de connexion d’une violation de données, d’une cyberattaque précédente ou sur le dark Web. Une fois que le cybercriminel a l’ensemble des identifiants de connexion vérifiés, il utilisera un outil automatisé pour saisir les identifiants de connexion sur plusieurs plateformes pour accéder à ces comptes. Parfois, les cybercriminels utilisent de légères variations des identifiants de connexion pour accéder aux autres comptes de l’utilisateur.
La différence entre le password spraying et le credential Stuffing
Le password spraying et le credential stuffing sont deux types d’attaques par force brute qui peuvent laisser des effets néfastes sur les utilisateurs. Si les attaques par password spraying et par credential stuffing sont réussies, elles peuvent entraîner des prises de contrôle de compte, dans lesquelles les cybercriminels ont un contrôle total sur le compte d’un utilisateur afin de l’utiliser pour leur propre gain. Les cybercriminels auraient accès aux informations personnellement identifiables (PII) d’une victime, qui peuvent être utilisées pour commettre une usurpation d’identité et d’autres types de fraude.
Cependant, le password spraying et le credential stuffing diffèrent en termes de méthodes d’obtention d’un accès non autorisé. Avec le credential stuffing, le cybercriminel dispose déjà d’un ensemble vérifié d’identifiants de connexion qui peut être utilisé pour accéder à plusieurs comptes pour un utilisateur. Le password spraying n’a pas d’ensemble d’identifiants de connexion et doit les deviner en faisant correspondre les mots de passe couramment utilisés avec une liste de noms d’utilisateur. Le password spraying attaque plusieurs utilisateurs au lieu d’en cibler un seul.
Comment prévenir le password spraying et le credential Stuffing
Le password spraying et le credential stuffing peuvent facilement être évités en pratiquant une bonne hygiène des mots de passe. L’hygiène des mots de passe fait référence aux meilleures pratiques et aux habitudes pour maintenir la sécurité des mots de passe. Voici quelques-unes des façons de prévenir le password spraying et le credential stuffing.
Utilisez des mots de passe forts et uniques
Le password spraying exploite les utilisateurs qui utilisent des mots de passe faibles et prévisibles pour protéger leurs comptes en ligne. Pour empêcher le password spraying de deviner vos mots de passe, vous devez utiliser des mots de passe forts pour protéger vos comptes en ligne. Un mot de passe fort est une combinaison aléatoire d’au moins 16 lettres minuscules et majuscules, de chiffres et de caractères spéciaux. Il ne contient ni informations personnelles, ni série de chiffres ou de lettres séquentielles, ni mots couramment utilisés qu’on trouve dans le dictionnaire.
Le credential stuffing repose sur les utilisateurs qui réutilisent leurs mots de passe sur plusieurs comptes. Pour empêcher les cybercriminels d’utiliser le credential stuffing et d’accéder à vos comptes, vous devez utiliser un mot de passe unique pour chacun de vos comptes et éviter de réutiliser les mots de passe. L’utilisation d’un mot de passe fort et unique pour chacun de vos comptes en ligne empêchera le credential stuffing et le password spraying, ce qui complique le craquage de vos mots de passe.
Activez la MFA
L’authentification multifacteur (MFA) est un protocole de sécurité qui nécessite de fournir des formes d’authentification supplémentaires. Pour accéder à un compte, les utilisateurs doivent fournir leurs identifiants de connexion et au moins une forme de vérification supplémentaire, telle qu’un mot de passe basé sur le temps (TOTP). La MFA ajoute une couche de sécurité supplémentaire et garantit que seuls les utilisateurs autorisés ont accès à votre compte. Même si vos identifiants de connexion ont été compromis, les cybercriminels ne pourraient pas accéder à votre compte, car vos comptes sont protégés par la MFA et ils n’ont pas les autres facteurs(s) d’authentification.
Stockez les mots de passe dans un gestionnaire de mots de passe
Un gestionnaire de mots de passe est un outil qui stocke et gère en toute sécurité vos mots de passe dans un coffre-fort numérique chiffré. Avec un gestionnaire de mots de passe, vous pouvez garder une trace de tous vos mots de passe et y accéder à tout moment. Votre coffre-fort numérique est protégé par plusieurs couches de chiffrement et n’est accessible qu’à l’aide d’un mot de passe maître fort. Un gestionnaire de mots de passe garantit également que chacun de vos mots de passe est sécurisé en identifiant les mots de passe faibles ou réutilisés et en vous invitant à les renforcer à l’aide du générateur de mots de passe intégré.
Les cybercriminels peuvent trouver des identifiants de connexion sur le dark web et les utiliser pour des attaques de password spraying ou credential stuffing. Pour prévenir le password spraying et le credential stuffing, vous devez investir dans un outil de surveillance du Dark Web.
La surveillance du Dark Web est un outil qui analyse le dark Web et surveille les informations personnelles spécifiques, telles que vos identifiants de connexion. Lorsqu’un outil de surveillance du Dark Web trouve des informations compromises, il vous alerte et vous invite à prendre des mesures, telles que la modification de vos mots de passe avant que les cybercriminels ne puissent l’utiliser pour obtenir un accès non autorisé.
Activez les notifications pour les tentatives de connexion
Pour détecter si un utilisateur non autorisé tente d’accéder à votre compte, vous devez activer les notifications pour les tentatives de connexion sur vos comptes. Ces notifications vous alerteront chaque fois que quelqu’un a essayé de se connecter à votre compte ou qu’un utilisateur non connu s’est récemment connecté à votre compte. Cela vous alertera qu’un cybercriminel vous attaque à l’aide d’un type d’attaque par force brute et vous permettra de prendre des mesures immédiatement.
Restez informé sur les cybermenaces
Les cybercriminels utilisent une variété de cyberattaques pour voler vos identifiants de connexion qu’ils peuvent utiliser pour le password spraying et le credential stuffing. Vous devez rester informé sur les différents types de cyberattaques que les cybercriminels utilisent pour les reconnaître et les éviter.
Les cybercriminels utilisent souvent le phishing pour inciter les utilisateurs à révéler leurs identifiants de connexion. Ils enverront des e-mails ou des SMS avec une pièce jointe ou un lien malveillant se faisant passer pour une personne familière, telle qu’une entreprise légitime. Si un utilisateur clique sur le lien, il télécharge un logiciel malveillant sur son appareil ou est redirigé vers un site Web usurpé. Le site Web usurpé invite l’utilisateur à donner ses identifiants de connexion.
Protégez vos mots de passe avec Keeper®
Le password spraying et le credential stuffing peuvent avoir des effets néfastes sur les utilisateurs qui utilisent des mots de passe faibles ou réutilisés. Cependant, ils peuvent facilement être évités si un utilisateur protège ses comptes en ligne avec des mots de passe forts et uniques et active la MFA. L’utilisateur moyen a environ 20 mots de passe dont il doit garder une trace. Il est extrêmement difficile de gérer vous-même un mot de passe fort et unique pour chaque compte. Pour protéger au mieux vos comptes, vous devez utiliser un gestionnaire de mots de passe.
Keeper Password Manager est Zero-Trust et Zero-Knowledge, garantissant que vous seul avez accès à vos informations personnelles. Avec KeeperFill, vous pouvez facilement gérer vos mots de passe sur n’importe quel appareil et simplifier la connexion avec KeeperFill.