Qu'est-ce que le Credential Stuffing ?
On parle d'attaque par Credential Stuffing lorsqu'un pirate utilise un ensemble d'identifiants volés pour tenter d'accéder à plusieurs comptes à la fois. Le Credential Stuffing est particulièrement efficace, car près de deux tiers des internautes réutilisent leurs mots de passe. Les pirates saisissent les identifiants volés sur des milliers de sites web en l'espace de quelques minutes ou de plusieurs heures, compromettant ainsi tous les comptes, des réseaux sociaux aux logiciels propriétaires de l'entreprise et bien plus encore.
Credential Stuffing et Password Spraying
Le Password spraying consiste à se servir d'un nom d'utilisateur vérifié et à le répéter sur plusieurs comptes en combinaison avec plusieurs mots de passe communs différents. Si un utilisateur n'a pas l'habitude d'utiliser de bons mots de passe, la plupart de ses comptes, voire tous, peuvent être mis en danger en devinant des mots de passe communs.
Les attaques par Credential Stuffing reposent sur la réutilisation des mots de passe. Étant donné que de nombreux utilisateurs réutilisent leurs mots de passe sur plusieurs comptes, un seul jeu d'identifiants suffit à compromettre la plupart, voire la totalité, de leurs comptes. Les pirates utilisent des outils tels que les BotNets pour exécuter des attaques multi-fronts sur plusieurs appareils, élargissant ainsi leurs capacités d'attaque avec un seul jeu d'identifiants.
Lorsqu'un pirate réussit une attaque par Credential Stuffing, il peut potentiellement prendre le contrôle de vos coordonnées bancaires, de vos réseaux sociaux et bien plus encore. Cela peut conduire à un vol pur et simple d'argent ou d'autres ressources, à une extorsion ou à une usurpation d'identité.
Comment détecter une attaque par Credential Stuffing ?
La détection précoce d'une attaque par Credential Stuffing peut vous donner le temps de réagir et de protéger vos comptes.
Pour les particuliers
Pour détecter une attaque par Credential Stuffing, il peut suffire d'exiger une authentification multifacteur (MFA) pour tous les comptes. L'authentification multifacteur est une mesure de sécurité supplémentaire que vous pouvez activer sur la plupart de vos comptes en ligne. Au lieu de devoir vous connecter à un compte avec un nom d'utilisateur et un mot de passe, vous devez fournir un ou plusieurs facteurs d'authentification supplémentaires.
Si une personne non autorisée tente de se connecter à un compte pour lequel vous avez activé l'authentification multifacteur et que vous recevez des e-mails ou des codes par SMS, vos comptes sont peut-être en train d'être piratés.
Pour les entreprises
Utilisez des détecteurs d'anomalie pour identifier le trafic contenant des robots.
Ces outils aident à détecter les anomalies du trafic web entrant et vous préviennent de la présence de robots. Le « Credential Stuffing » s'appuie sur des robots autonomes qui peuvent rapidement saisir des identifiants, leur détection peut donc vous aider à réagir rapidement.
Utilisez des données biométriques.
Les identifiants biométriques permettent d'établir des connexions fortement sécurisées et uniques. La combinaison d'un mot de passe et d'identifiants biométriques peut renforcer considérablement la sécurité d'un compte.
Comment éviter le Credential Stuffing ?
Se protéger du « Credential Stuffing » en tant qu'utilisateur
Pour éviter d'être victime d'une attaque par Credential Stuffing, commencez par sécuriser chacun de vos comptes en ligne à l'aide de mots de passe forts et uniques. Vos mots de passe doivent comporter au moins 16 caractères et une combinaison de lettres majuscules et minuscules, de symboles et de chiffres. Pour vous aider à créer des mots de passe forts, utilisez un générateur de mots de passe. Un générateur de mot de passe est un outil en ligne gratuit qui génère de manière aléatoire une chaîne de caractères à utiliser comme mot de passe.
Les mots de passe générés sont difficiles à retenir, il est donc préférable de les stocker dans un gestionnaire de mots de passe. Cet outil vous permet de stocker et de gérer tous vos mots de passe et de ne retenir qu'un seul mot de passe principal fort pour accéder au reste de vos identifiants.
Pour plus de sécurité, activez l'authentification multifacteur dans la mesure du possible. L'authentification multifacteur permet de protéger vos comptes en ligne contre les tentatives de piratage d'utilisateurs non autorisés. L'activation de l'authentification multifacteur diminue le risque d'être victime d'une attaque par Credential Stuffing : si un pirate parvenait à mettre la main sur votre nom d'utilisateur et votre mot de passe, il ne pourrait pas se connecter sans le processus d'authentification multifacteur, auquel vous seul avez accès.
Se protéger du « Credential Stuffing » en tant qu'entreprise
Pour empêcher le Credential Stuffing dans votre entreprise, commencez par sécuriser les comptes de vos collaborateurs avec des mots de passe forts et en imposant l'utilisation de l'authentification multifacteur (MFA). Le meilleur moyen de s'assurer que les collaborateurs respectent les bonnes pratiques en matière de mots de passe est de se doter d'un gestionnaire de mots de passe professionnel.
Grâce aux gestionnaires de mots de passe professionnels, les administrateurs informatiques disposent d'une visibilité complète sur les pratiques des collaborateurs en matière de mots de passe. Les gestionnaires de mots de passe aident également les administrateurs informatiques à exécuter les politiques de sécurité concernant les mots de passe, par exemple en imposant une longueur de mot de passe minimale et en exigeant l'utilisation de l'authentification multifacteur dans la mesure où elle est prise en charge. En centralisant la gestion des mots de passe, les entreprises s'assurent qu'elles prennent les précautions nécessaires pour éviter les attaques par Credential Stuffing, qui compromettent les comptes de leurs collaborateurs.
Méfiez-vous du « Credential Stuffing »
Les attaques par Credential Stuffing peuvent mettre en péril vos données personnelles et professionnelles, pouvant conduire à une usurpation d'identité et à des pertes financières. Pour éviter que vous ou votre entreprise ne soyez victime d'une telle attaque, il est important de la comprendre et de savoir ce que vous pouvez faire pour protéger vos comptes en ligne.
