À l’heure où l’on fournit de plus en plus d’informations aux sites Internet (mail, adresse, données bancaires…), les hackers et les fraudeurs trouvent de nouvelles manières d’accéder à ces informations de connexion confidentielles.
Le credential stuffing en est une, pratique qui désigne le fait de tester des identifiants dérobés sur plusieurs sites pour pirater les comptes utilisant les mêmes identifiants.
Les hackers procèdent comme suit : ils achètent ou se procurent des listes d’identifiants volés (sur le darknet ou en utilisant les bons mots-clés sur Google) puis les chargent sur un botnet qui lance des attaques de tentative de connexion à grande échelle contre des entreprises opérant dans quasiment tous les secteurs d’activité.
En effet, ces bots malveillants peuvent exécuter plusieurs centaines de milliers de tentatives de connexion en appliquant la stratégie many to many, qui consiste à utiliser une multitude de ressources d’attaque pour cibler simultanément un grand nombre d’applications Web.
Une fois les identifiants/mots de passe validés sur ces sites, les hackers peuvent accéder aux comptes et effectuer de nombreuses actions frauduleuses telles que le vol de données, l’usurpation d’identité des clients ou encore le piratage de comptes, par exemple.
Malheureusement, on constate que les contrôles de sécurité standard ne suffisent plus pour détecter ces cyberattaques. Les bots utilisés pour le credential stuffing et la fraude sur le Web comptent parmi les techniques les plus sophistiquées.
Même s’il est relativement simple d’arrêter les pirates amateurs et les outils de piratage disponibles en téléchargement (comme Sentry MBA), les fraudeurs trouvent toujours un moyen de les éviter en utilisant des bots qui imitent un comportement humain.
Le blocage IP, la limitation de débit, les tests JavaScript et l’empreinte de navigateur ne suffisent plus à arrêter ce type d’attaque.
Lorsqu’on sait qu’un compte piraté a 17 fois plus de valeur qu’un numéro de carte de crédit volé, on ne peut que craindre une explosion du credential stuffing généralisée dans le monde.
Selon une étude récente menée aux États-Unis par le Ponemon Institute pour le compte d’Akamai, 54 % des personnes interrogées indiquent que les attaques de type credential stuffing non seulement se multiplient, mais sont également de plus en plus graves.
68 % des sondés estiment avoir peu de visibilité sur ce type d’attaque tandis que 70 % d’entre eux jugent que les solutions existantes ne permettent pas de prévenir et de les contenir.
Alors qu’aux États-Unis de nouveaux métiers émergent au sein de la DSI tels que des responsables de la fraude, sur le vieux continent, les entreprises ne semblent pas encore suffisamment sensibilisées au problème.
Pourtant, en cas de violation de données et de vol d’identifiants, occasionnant une attaque credential stuffing et éventuellement des piratages de comptes, les conséquences peuvent être dramatiques pour les entreprises telles que des pertes financières, une détérioration de l’image de marque, des sanctions pénales ou la perte de confiance des clients.
C’est notamment le cas d’Uber, qui révéla avoir subi une cyberattaque fin 2016, occasionnant le vol d’informations personnelles de 57 millions d’utilisateurs dans le monde. Un énième scandale pour la firme américaine à la réputation déjà bien entamée.
Par ailleurs, une institution financière a rapporté que le coût d’un piratage de compte causé par le credential stuffing peut se chiffrer de 1 500 à 2 000 $ par compte.
D’après l’étude Ponemon citée précédemment, on constate aujourd’hui que les entreprises ne disposent pas de solutions ou de technologies suffisantes pour empêcher ou contenir ces attaques : lors d’un test d’une heure, seules 64 % des tentatives de connexion par des botnets ont pu être détectées 2 comme membre d’un botnet déjà détecté.
Des recherches de pointe sur la sécurité Web ont montré que le trafic des bots peut représenter jusqu’à 60 % du trafic Web total, mais que seulement 28 % de l’ensemble du trafic des bots est aujourd’hui déclaré.
Les solutions actuelles de sécurité en ligne ne parviennent pas à détecter les bots participant à des attaques de credential stuffing, car ils lancent des attaques depuis un réseau très distribué sur une courte période donnée et sont donc perçus comme légitimes.
Sans oublier qu’une grande partie des attaques ciblent les API mobiles, qui n’offrent pas le même niveau de sécurité que les autres applications Web…
Pour parvenir à réduire les impacts négatifs des bots sur l’infrastructure IT, il convient de procéder à l’identification et au classement des bots, puis de leur appliquer un traitement différencié sur votre site, en fonction de leur type.
Akamai recommande la mise en place d’une stratégie de gestion, et non d’une stratégie de blocage des bots. Les détenteurs de sites Web ont intérêt à appliquer différentes stratégies de gestion en fonction de la catégorie de bots, de leur attrait et de la charge qu’ils font peser sur l’infrastructure.
L’adoption d’une approche de gestion (plutôt que de blocage) des bots Web permettra en outre de réduire leurs coûts opérationnels grâce à la réduction de leur infrastructure et des dépenses informatiques liées à la gestion du trafic de bots supplémentaires.
Les entreprises pourront ainsi optimiser l’expérience client, conserver leur avantage concurrentiel et lutter contre les activités frauduleuses.
Crédit photo : DigitalMajority via VisualHunt / CC BY-NC-SA
ChatGPT a eu un succès des plus fulgurants. Ce succès a marqué le début d’une…
À partir du 28 juin 2025, date de l’entrée en vigueur de la directive européenne…
Un Managed Security Service Provider Active Directory (MSSP AD) s’appuie sur des outils conçus pour…
Face au niveau de sophistication croissant des cyberattaquants, qui disposent d’outils toujours plus innovants, ciblant…
Voici en 10 points, les possibilités qu’offre l’IA pour optimiser vos systèmes de cybersécurité.
La traque des risques ne devrait pas se limiter à la conformité réglementaire. Ces audits…