Cette pratique consiste à utiliser les identifiants volés d’un compte pour accéder de manière automatisée à plusieurs autres sur de multiples sites. Elle doit être l’occasion de rappeler que le  login/mot de passe n’est plus suffisant pour assurer la protection des comptes.

Il y a un mois, DailyMotion déclarait avoir découvert l’existence d’une attaque par credential stuffing. Reddit, Nest, Dunkin' Donuts, OkCupid ont subi le même sort ces dernières semaines.

Basecamp (application de gestion de projet) a récemment indiqué qu’elle avait été confrontée à 30 000 tentatives de connexion malveillantes à partir de différentes adresses IP en une heure.

La découverte récente d’un fichier appelé Collection #1 et comprenant 773 millions de comptes email et 21 millions de mots de passe est une aubaine pour tous les cybercriminels adeptes du « credential stuffing ».

Les quelque 87 Go d’informations de Collection #1 et les multiples fuites massives de données de 2018 (sans parler des années précédentes…) sont une mine d’or : avec des bots, il est possible de tester des millions de combinaisons login/mot de passe permettant d’accéder à des comptes.

Mot de passe unique

« Nous avons vu récemment des pics dans les tentatives d’accès aux comptes immédiatement après la publication de cette base », a déclaré, à Wired, Shuman Ghosemajumder, directeur technique de Shape Security, une entreprise spécialisée dans la fraude numérique.

Ce type d’attaque a un taux de succès relativement faible. Basecamp a constaté que les attaquants n’avaient réussi qu’à pénétrer dans 124 comptes ; la société avait rapidement réinitialisé les mots de passe.

De son côté, DailyMotion avait indiqué que les pirates n’avaient pu ouvrir qu’un nombre limité de comptes, car l’équipe avait pris « toutes les mesures nécessaires » en déconnectant les clients touchés.

Ce type d’attaque confirme une nouvelle fois que les mots de passe restent le maillon faible. Or, la plupart des personnes ne changent pas régulièrement leurs mots de passe ou les utilisent pour accéder à plusieurs de leurs comptes.

2FA

Pour se protéger du « credential stuffing », il est nécessaire d’avoir un mot de passe unique par compte. La seconde parade est d’utiliser l’authentification à double facteur lorsqu’elle est disponible. 2FA n’est peut-être pas infaillible, mais il est plus sûr qu’une configuration de login/mot de passe.

Pour leur défense, les entreprises peuvent déployer un pare-feu pour applications Web (WAF) capable d’identifier le trafic malveillant des bots ainsi que les attaques de connexion automatisées dirigées contre votre application Web. Autre piste : un CDN.

Source : wired.com