Cybersécurité : le « credential stuffing » coûte cher aux entreprises

Ariane Beky,

L’accès frauduleux aux comptes web d’utilisateurs par injection automatique d’identifiants volés coûterait plusieurs millions de dollars par an et par entreprise.

Les attaques de type « credential stuffing », autrement dit le test et l’injection automatique d’identifiants volés pour accéder aux comptes d’utilisateurs sur plusieurs sites, se multiplient. « Des listes d’identifiants et de mots de passe volés circulent sur le dark web », a déclaré, rapport à l’appui, Jay Coley, directeur stratégie de sécurité chez Akamai. Et « les cybercriminels utilisent des botnets pour valider ces listes en utilisant les pages de connexion d’autres organisations, élargissant ainsi l’impact d’une attaque. »

Le coût pour les entreprises ciblées n’est pas négligeable. C’est ce que montrent les résultats d’une enquête* commandée par Akamai au Ponemon Institute. Elle a été menée auprès de responsables de la sécurité informatique et de la gestion des risques.

Voici 5 points à retenir du rapport pour la région EMEA (Europe, Moyen-Orient, Afrique) :

1. Les entreprises interrogées exploitent en moyenne 26,5 sites web accessibles au public.

2. Ces organisations ont été la cible d’une moyenne mensuelle de 10,9 attaques de « credential stuffing », l’an dernier. Or, 27,5% de ces attaques n’auraient pas été détectées.

3. Chaque attaque par injection d’identifiants volés cible une moyenne de 1 041 comptes utilisateurs. Or, 10,97% des tentatives parviennent à identifier des identifiants valides.

4. Hors fraude liée à un accès frauduleux, le coût moyen de gestion du « credential stuffing » est estimé à 3,8 millions de dollars par an. Cette somme se répartit ainsi :

> 1,1 M$ pour la prévention, détection et correction par l’équipe en charge de la sécurité IT de l’organisation concernée ;
> 1,2 M$ par an du fait de l’indisponibilité d’applications lors de pics de trafic ;
> 1,5 M$ par an associés à la perte de clients.

5. Quant au coût financier de la fraude liée aux attaques de « credential stuffing », il peut varier d’une moyenne annuelle de 227 550 dollars (si une perte monétaire touche 1% des comptes piratés) à 22,8 millions dollars (100% de comptes entraînent une perte monétaire).

Pour le fournisseur CDN (content delivery network) Akamai, les entreprises ont donc intérêt à « se doter d’outils de gestion de bots ». Des outils qui leur permettent de « surveiller les comportements » et de « distinguer les connexions » légitimes des tentatives frauduleuses.

*Dans le cadre du rapport « The Cost of Credential stuffing – EMEA », 544 responsables de la sécurité informatique d’entreprises de taille moyenne et de grands groupes ont été interrogés en 2018.

(crédit photo © scyther5 / Shutterstock)