Akamai – L’explosion du credential stuffing, véritable menace pour l’entreprise

Sécurité

Un nouvel avis d’expert, signé Akamai, sur le credential stuffing, fait de tester des identifiants dérobés sur plusieurs sites pour pirater les comptes.

À l’heure où l’on fournit de plus en plus d’informations aux sites Internet (mail, adresse, données bancaires…), les hackers et les fraudeurs trouvent de nouvelles manières d’accéder à ces informations de connexion confidentielles.

Le credential stuffing en est une, pratique qui désigne le fait de tester des identifiants dérobés sur plusieurs sites pour pirater les comptes utilisant les mêmes identifiants.

Les hackers procèdent comme suit : ils achètent ou se procurent des listes d’identifiants volés (sur le darknet ou en utilisant les bons mots-clés sur Google) puis les chargent sur un botnet qui lance des attaques de tentative de connexion à grande échelle contre des entreprises opérant dans quasiment tous les secteurs d’activité.

En effet, ces bots malveillants peuvent exécuter plusieurs centaines de milliers de tentatives de connexion en appliquant la stratégie many to many, qui consiste à utiliser une multitude de ressources d’attaque pour cibler simultanément un grand nombre d’applications Web.

Une fois les identifiants/mots de passe validés sur ces sites, les hackers peuvent accéder aux comptes et effectuer de nombreuses actions frauduleuses telles que le vol de données, l’usurpation d’identité des clients ou encore le piratage de comptes, par exemple.

Malheureusement, on constate que les contrôles de sécurité standard ne suffisent plus pour détecter ces cyberattaques. Les bots utilisés pour le credential stuffing et la fraude sur le Web comptent parmi les techniques les plus sophistiquées.

Même s’il est relativement simple d’arrêter les pirates amateurs et les outils de piratage disponibles en téléchargement (comme Sentry MBA), les fraudeurs trouvent toujours un moyen de les éviter en utilisant des bots qui imitent un comportement humain.

Le blocage IP, la limitation de débit, les tests JavaScript et l’empreinte de navigateur ne suffisent plus à arrêter ce type d’attaque.

Lorsqu’on sait qu’un compte piraté a 17 fois plus de valeur qu’un numéro de carte de crédit volé, on ne peut que craindre une explosion du credential stuffing généralisée dans le monde.

Un risque sous-estimé, des conséquences dévastatrices

Selon une étude récente menée aux États-Unis par le Ponemon Institute pour le compte d’Akamai, 54 % des personnes interrogées indiquent que les attaques de type credential stuffing non seulement se multiplient, mais sont également de plus en plus graves.

68 % des sondés estiment avoir peu de visibilité sur ce type d’attaque tandis que 70 % d’entre eux jugent que les solutions existantes ne permettent pas de prévenir et de les contenir.

Alors qu’aux États-Unis de nouveaux métiers émergent au sein de la DSI tels que des responsables de la fraude, sur le vieux continent, les entreprises ne semblent pas encore suffisamment sensibilisées au problème.

Pourtant, en cas de violation de données et de vol d’identifiants, occasionnant une attaque credential stuffing et éventuellement des piratages de comptes, les conséquences peuvent être dramatiques pour les entreprises telles que des pertes financières, une détérioration de l’image de marque, des sanctions pénales ou la perte de confiance des clients.

C’est notamment le cas d’Uber, qui révéla avoir subi une cyberattaque fin 2016, occasionnant le vol d’informations personnelles de 57 millions d’utilisateurs dans le monde. Un énième scandale pour la firme américaine à la réputation déjà bien entamée.

Par ailleurs, une institution financière a rapporté que le coût d’un piratage de compte causé par le credential stuffing peut se chiffrer de 1 500 à 2 000 $ par compte.

La gestion de bots, une réponse au credential stuffing

D’après l’étude Ponemon citée précédemment, on constate aujourd’hui que les entreprises ne disposent pas de solutions ou de technologies suffisantes pour empêcher ou contenir ces attaques : lors d’un test d’une heure, seules 64 % des tentatives de connexion par des botnets ont pu être détectées 2 comme membre d’un botnet déjà détecté.

Des recherches de pointe sur la sécurité Web ont montré que le trafic des bots peut représenter jusqu’à 60 % du trafic Web total, mais que seulement 28 % de l’ensemble du trafic des bots est aujourd’hui déclaré.

Les solutions actuelles de sécurité en ligne ne parviennent pas à détecter les bots participant à des attaques de credential stuffing, car ils lancent des attaques depuis un réseau très distribué sur une courte période donnée et sont donc perçus comme légitimes.

Sans oublier qu’une grande partie des attaques ciblent les API mobiles, qui n’offrent pas le même niveau de sécurité que les autres applications Web…

Pour parvenir à réduire les impacts négatifs des bots sur l’infrastructure IT, il convient de procéder à l’identification et au classement des bots, puis de leur appliquer un traitement différencié sur votre site, en fonction de leur type.

Akamai recommande la mise en place d’une stratégie de gestion, et non d’une stratégie de blocage des bots. Les détenteurs de sites Web ont intérêt à appliquer différentes stratégies de gestion en fonction de la catégorie de bots, de leur attrait et de la charge qu’ils font peser sur l’infrastructure.

L’adoption d’une approche de gestion (plutôt que de blocage) des bots Web permettra en outre de réduire leurs coûts opérationnels grâce à la réduction de leur infrastructure et des dépenses informatiques liées à la gestion du trafic de bots supplémentaires.

Les entreprises pourront ainsi optimiser l’expérience client, conserver leur avantage concurrentiel et lutter contre les activités frauduleuses.

Crédit photo : DigitalMajority via VisualHunt / CC BY-NC-SA

Auteur
En savoir plus 
Senior Enterprise Security Architect EMEA
Akamai
Xavier Daspre, Senior Enterprise Security Architect EMEA, a rejoint Akamai en 2016 pour gérer l'avant-vente des solutions de sécurité Akamai pour l’Europe. Expert en sécurité informatique et réseaux, il a mené l’essentiel de sa carrière chez les principaux éditeurs internationaux du secteur. Xavier Daspre a démarré sa carrière, en 1998, au sein de SEMA Group (Atos Origin) en tant que consultant sécurité. Il y a découvert et développé toutes les facettes du métier : de l’intégration de produits sécurité à l’avant-vente en passant par l'audit et le conseil. Il est ensuite recruté par Afina (aujourd’hui Westcon) au poste de directeur technique pour gérer le portefeuille de solutions. Il occupera par la suite les fonctions de directeur des services et projets. En 2011, il rejoint Fortinet en qualité d’ingénieur avant-vente puis, avant de rejoindre Akamai, occupera des fonctions similaires au sein de F5, il sera spécialisé sur la gamme de produits sécurité tout en s’occupant du secteur des grandes industries françaises. Xavier Daspre est diplômé de l'EPITA majeure Telecom.
En savoir plus 

Livres blancs A la Une