Le credential stuffing
Credential stuffing : découvrez cette cyberattaque en 2 minutes – comment elle fonctionne, les outils utilisés par les hackers et les meilleures pratiques pour s’en prémunir !
Lorsqu’un attaquant veut hacker votre compte, son premier problème, c’est de trouver votre mot de passe.
L’une des solutions pourrait être d’essayer toutes les combinaisons possibles, mais c’est un peu comme creuser dans la terre à la recherche d’un trésor : sans carte ni indice, cela peut vite devenir compliqué, voire impossible.
Et des indices, les hackers peuvent en trouver plein sur le darknet en achetant, par exemple, des leaks de base de données.
Dans ces fuites de données, se cachent parfois des combinaisons d’e-mails et de mots de passe, que les attaquants s’empressent d’essayer sur tous les sites possibles.
C’est exactement cela, le credential stuffing : l’utilisation habile par les attaquants de fuite de données précédente contenant des identifiants de connexion sur d’autres sites.
Pour simplifier, si vous deviez trouver le mot de passe de ce coffre-fort, à première vue, c’est un peu mission impossible. Par contre, si je vous dis que vous avez entendu aux détours d’un couloir que son propriétaire utilise sa date de naissance comme code sur son téléphone et celle de son fils pour se connecter à son ordinateur, vous allez essayer ces deux mots de passe en premier avant d’essayer n’importe quelle combinaison aléatoire.
Voilà, sans le savoir, vous saviez déjà ce qu’était le credential stuffing.
Bon, dans la vraie vie, les attaquants ne font pas cela à la main et utilisent des outils comme Sentry MBA, STORM ou SNIPR que vous pouvez retrouver à vos risques et périls sur le dark web ou utiliser OpenBullet2, un outil Open Source disponible sur GitHub.
La question maintenant, c’est :
comment éviter d’être victime de credential stuffing ?
Eh bien, en tant qu’utilisateur, il vous suffit d’éviter d’utiliser le même mot de passe partout, et pour cela, vous pouvez utiliser un gestionnaire de passe comme Bitwarden, par exemple, et ce n’est même pas sponsorisé.
Vous pouvez aussi activer le MFA sur les sites qui vous le proposent, ajoutant un niveau de sécurité sur vos comptes. Comme cela, même si votre mot de passe fuite, sans le code unique, les attaquants ne pourront rien en faire.
Et pour mes amis développeurs, je vous conseille d’implémenter ces mesures de sécurité en commençant par la mise en place d’un système anti-bot comme reCAPTCHA, mais aussi du monitoring pour détecter les connexions suspectes et bloquer les comptes après plusieurs tentatives infructueuses.
À cela, vous pouvez ajouter de l’alerting, du rate limiting, mais aussi du profilage pour mieux détecter les cas suspects, sans oublier évidemment le stockage sécurisé des mots de passe avec du hashage incluant du salage et du poivrage.
Et si jamais vous pensez être victime de credential stuffing, pour les entreprises, il n’est jamais trop tard pour implémenter ces mesures et, côté utilisateur, pensez à immédiatement changer votre mot de passe sur tous les sites où vous êtes susceptible d’utiliser malheureusement le même mot de passe et d’activer le MFA et de contester n’importe quelle activité suspecte.