Pour gérer vos consentements :

« Credential stuffing » : les entreprises sont-elles bien protégées ?

Le Labs du fournisseur de solutions F5 Networks a dévoilé les premiers résultats d’une étude concernant les attaques cyber par bourrage d’identifiants (credential stuffing).

Quels sont les principaux enseignements de ce rapport* ?

Le nombre d’attaques par injection automatique d’identifiants volés a presque doublé entre 2016 et 2020. En revanche, la quantité d’identifiants dérobés a fortement baissé (de 46%) sur la période, de même que le volume moyen de dossiers (records) concernés.

Une bonne nouvelle pour les entreprises ?

« Il est très peu probable que les équipes de sécurité aient déjà gagné la guerre contre l’exfiltration des données et la fraude. Il semble donc plutôt que nous assistions à la stabilisation d’un marché auparavant chaotique, qui atteint une plus grande maturité et trouve son régime de croisière », prévient Sara Boddy, directrice de F5 Labs.

En outre, malgré un consensus de façade sur les meilleures pratiques, les comportements des organisations concernant le stockage des mots de passe ne seraient pas à la hauteur de l’enjeu, selon la spécialiste du renseignement sur les menaces.

Hacher n’est pas saler

Sans grande surprise, le stockage en clair des mots de passe a été responsable du plus grand nombre de fuites d’identifiants (43%) entre 2018 et 2020. Vient ensuite l’usage de mots de passe « hachés mais non salés » avec l’algorithme SHA-1 (20%). L’utilisation de mots de passe hachés avec l’algorithme bcrypt arrive après (16,7%), tandis que les passwords s’appuyant encore sur le hachage de MD5 — un algorithme jugé obsolète — ne représentaient qu’une faible proportion des attaques (0,4%).

F5 observe, par ailleurs, que les attaquants utilisent de plus en plus la méthode du « fuzzing » (la recherche de vulnérabilités par injection de code). Et qu’ils disposent d’un large éventail d’outils — dont beaucoup sont également utilisés par des professionnels de la cybersécurité — pour orchestrer une attaque par credential stuffing.

Aussi, les données exfiltrées se retrouvent le plus souvent sur le Dark Web, avant même que les organisations alertent, voire détectent une telle violation. Le délai médian pour découvrir un tel incident étant de 120 jours désormais.

*(source : F5 Labs & Shape Security « 2021 Credential Stuffing Report »).

(crédit photo via pexels)

Recent Posts

HackerOne : quand un initié détourne le bug bounty

Un employé aurait exploité à des fins personnelles des rapports de sécurité soumis par des…

3 heures ago

Jean-Noël Barrot, nouveau ministre délégué chargé du numérique

Jean-Noël Barrot est nommé ministre délégué chargé de la Transition numérique et des Télécommunications du…

20 heures ago

Microsoft peine à convertir à sa « nouvelle expérience commerciale »

Microsoft concède de nouveaux reports dans la mise en place de la « nouvelle expérience…

20 heures ago

PC, tablettes et smartphones : la dégringolade qui s’annonce

Tensions géopolitiques, inflation et difficultés d'approvisionnement impactent à la baisse le marché des terminaux. En…

21 heures ago

Le W3C dit non à Google et Mozilla sur l’identité décentralisée

La spécification DID (Decentralized Identifiers) passera au stade de recommandation W3C début août, en dépit…

22 heures ago

Silicon Data Awards 2022 – A vos candidatures !

La 1ère édition des Silicon Data Awards est lancée ! Rejoignez le concours avant le…

23 heures ago