Vous avez choisi un mot de passe fort. Il a tout : des chiffres, des lettres majuscules au milieu, quelques caractères spéciaux comme ^s et $s bien placés, et il se termine par un point d'interrogation à l'envers. Parfait. Vous pensez maintenant pouvoir l’utiliser pour tous vos comptes.
Contenu:
Mais c'est ainsi que les pirates vont vous piéger. Aujourd'hui, nous nous intéressons au credential stuffing, ou bourrage d'identifiants.
De quoi s'agit-il et comment ça marche ?
Le bourrage d’identifiants est un type de cyberattaque : les escrocs utilisent des identifiants volés pour accéder sans autorisation à un compte utilisateur ou aux systèmes d’une entreprise. En général, les noms d’utilisateur et les mots de passe utilisés lors de ces attaques sont obtenus illégalement via des violations de données.
Comme son nom l'indique, l'attaque consiste à effectuer autant de tentatives de connexion que possible sur plusieurs sites Web ou systèmes d'entreprise dans l'espoir d'y accéder. Le bourrage d'identifiants repose sur l'automatisation et l'hypothèse que de nombreuses personnes réutilisent leurs identifiants de connexion sur plusieurs services et plateformes en ligne.
Pourquoi cette pratique est-elle en hausse ?
Les attaques par bourrage d'identifiants sont assez fréquentes, principalement en raison de l'offre et de la demande considérable en matière d'informations de connexion piratées.
N'importe qui peut acheter des listes de mots de passe divulgués sur le Web. Mieux (ou pire) encore, ils peuvent être téléchargés gratuitement via les réseaux P2P.
Ces gigantesques collections contiennent de multiples violations de données. Par exemple, la tristement célèbre Collection #1-5 offre 2,2 milliards de combinaisons uniques de nom d'utilisateur et de mot de passe. Toute personne disposant d'une connexion Internet peut les trouver en ligne en texte clair.
Une fois que l'attaquant en devenir obtient ce trésor d'informations d'identification, il peut commencer à les « bourrer ». Habituellement, pour accéder à un compte, un attaquant doit envoyer de nombreuses demandes de connexion. C'est là que les outils de credential stuffing (également disponibles en ligne) sont utiles.
Puisque l'entrée de millions de mots de passe dans des millions de boîtes à la main n'est pas une option, les attaquants automatisent ces attaques. Ils renvoient également les requêtes via des serveurs proxy pour cacher le fait qu'elles proviennent de la même adresse IP. Les outils de credential stuffing masquent également le navigateur de l'attaquant et trouvent un moyen de contourner les CAPTCHA.
Selon le Data Breach Investigations Report 2022 de Verizon, les attaques par bourrage d'identifiants sont une cause fréquente de violation des données , car de nombreuses personnes ont tendance à réutiliser leurs mots de passe sur plusieurs comptes.
Bourrage d'identifiants et attaque par force brute
Le bourrage d'identifiants et les attaques par force brute sont similaires dans leur mode de fonctionnement. Les acteurs malveillants utilisent les deux attaques dans le même but : obtenir un accès non autorisé à un compte en ligne ou à un système d'entreprise. Cependant, les deux pratiques diffèrent dans leur approche. Lors d'une attaque par force brute, les pirates utilisent des processus automatisés pour deviner au hasard le nom d'utilisateur et le mot de passe de la victime potentielle. En revanche, lors d'une attaque par bourrage d'identifiants, les escrocs utilisent des identifiants volés, ce qui augmente leurs chances de réussite.
Comment éviter le bourrage d'identifiants
Éviter le bourrage d'identifiants, comme tout autre type de cyberattaque, est une tâche complexe impliquant diverses pratiques de cybersécurité. Cependant, une fois que vous connaissez les étapes à suivre, vous pouvez réduire considérablement le risque d'en subir les conséquences.
Ne réutilisez pas vos mots de passe
Même si votre mot de passe est pratiquement introuvable, cela ne changera rien si un site que vous consultez est piraté et que ce mot de passe ultra-sécurisé se retrouve sur le Web. Et une fois que vos identifiants de connexion sont connus, les pirates peuvent les utiliser pour accéder à vos autres comptes. C'est l'essence même du bourrage d'identifiants. Si vous réutilisez vos mots de passe, les pirates peuvent les réutiliser aussi. Pour trouver facilement un mot de passe différent pour chaque compte, il est préférable d'utiliser un générateur de mot de passe : il s'agit d'un outil qui crée automatiquement des mots de passe forts et uniques.
Utilisez l'authentification multifacteur
L’authentification multifactorielle offre un niveau de sécurité supplémentaire en ajoutant une étape de vérification d'identité lorsque vous essayez d'accéder à l'un de vos comptes en ligne. Dans la plupart des cas, il s'agit de saisir un code de 4 à 8 chiffres après avoir saisi vos identifiants de connexion. En général, le code vous est envoyé par e-mail, SMS ou une application d'authentification. Avec l'authentification multifacteur (MFA), si vos mots de passe et noms d'utilisateur sont compromis lors d'une violation, les pirates ne peuvent pas accéder à votre compte, car ils ne peuvent pas obtenir le code MFA.
Utilisez un gestionnaire de mots de passe
De nos jours, l'utilisation d'un gestionnaire de mots de passe tombe sous le sens. C'est un outil qui vous permet de stocker et d'accéder en toute sécurité à vos mots de passe, vos cartes de crédit et autres informations personnelles chaque fois que vous en avez besoin. Avec un NordPass, il n'a jamais été aussi facile de trouver des mots de passe forts et uniques pour tous vos comptes en ligne. Par ailleurs, la fonctionnalité de remplissage automatique évite la saisie manuelle des mots de passe et noms d'utilisateurs. Vous pouvez donc oublier les désagréments liés aux chaînes de 12 caractères aléatoires.
Vérifiez régulièrement si vos identifiants ont été divulgués
Il est essentiel de savoir si vos noms d'utilisateur et vos mots de passe ont été compromis lors d'une violation de données afin d'éviter une attaque par bourrage d'identifiants et de maintenir un profil sécurisé en ligne. Divers outils en ligne vous permettent de savoir si vos informations sensibles ont été exposées dans une fuite de données. Parmi ces outils, notre Analyse des fuites de données analyse le Web à la recherche de bases de données volées, puis les compare à votre adresse e-mail.
Conclusion
Votre sécurité en ligne ne peut être totale, car vous ne pouvez pas tout savoir ni tout contrôler. Les applications, les sites Web ou les services en ligne que vous utilisez sont-ils sécurisés ? Parfois oui. Parfois non. Parfois, ils paraissent sûrs, jusqu'à ce qu'ils vous prouvent le contraire. C'est pourquoi vous devez utiliser toutes les mesures de sécurité à votre disposition.