Anatomie d'une attaque - Comment cela fonctionne-t-il ?
Les attaques par saturation utilisent de grandes listes de paires nom d'utilisateur/mot de passe qui ont été exposées. Dans certaines violations de données, un stockage inadéquat des informations d'identification entraîne la fuite de l'ensemble de la base de données des mots de passe. Dans d'autres cas, les cybercriminels déchiffrent les mots de passe de certains utilisateurs en les devinant. Les "credential stuffers" peuvent également accéder aux noms d'utilisateur et aux mots de passe par le biais de l'hameçonnage et d'autres attaques similaires.
These lists of usernames and passwords are fed to a botnet, which uses them to try to log onto certain target sites. For example, the credentials breached by a travel website may be checked against a large banking institution. If any users reused the same credentials across both sites, then the attackers may be able to successfully log into their accounts.
After identifying valid username/password pairs, the cybercriminals may use them for a variety of different purposes, depending on the account in question. Some credentials may provide access to corporate environments and systems, while others may allow attackers to make purchases using the account owner’s bank account. A credential stuffing group may take advantage of this access themselves or sell it on to another party.
Attaques par saturation ou par force brute
Les attaques de mots de passe par force brute sont un terme général qui recouvre plusieurs techniques d'attaque spécifiques. En général, une attaque par force brute signifie que l'attaquant essaie différentes combinaisons d'un mot de passe jusqu'à ce que quelque chose fonctionne.
Le terme d'attaque par force brute est le plus souvent utilisé pour désigner une attaque dans laquelle l'attaquant essaie toutes les options possibles pour un mot de passe. Par exemple, une attaque par force brute sur un mot de passe de huit caractères peut essayer aaaaaaaa, aaaaaaab, aaaaaaac, etc. Bien que cette approche garantisse de trouver le bon mot de passe à terme, elle est lente au point d'être infaisable pour un mot de passe fort.
Le credential stuffing adopte une approche différente pour deviner le mot de passe d'un utilisateur. Au lieu d'examiner toutes les combinaisons possibles de mots de passe, il se concentre sur ceux dont on sait qu'ils ont été utilisés par une personne parce qu'ils ont été exposés lors d'une violation. Cette approche de la recherche de mots de passe est beaucoup plus rapide qu'une recherche par force brute, mais elle suppose que les mots de passe seront réutilisés sur plusieurs sites. Cependant, comme la plupart des gens réutilisent le même mot de passe pour plusieurs sites, il s'agit d'une hypothèse sûre.
Comment éviter le bourrage de données d'identification
Le bourrage d'identifiants présente un risque sérieux pour la sécurité des personnes et des entreprises. Une attaque réussie de credential stuffing donne au pirate l'accès au compte de l'utilisateur, qui peut contenir des informations sensibles ou la possibilité d'effectuer des transactions financières ou d'autres actions privilégiées au nom de l'utilisateur. Cependant, malgré la menace bien connue de la réutilisation des mots de passe, la plupart des gens ne modifient pas leurs habitudes en matière de mots de passe.
Le "Credential stuffing" peut également mettre l'entreprise en danger si les mots de passe sont réutilisés sur des comptes personnels et professionnels. Les entreprises peuvent prendre différentes mesures pour atténuer le risque d'attaques par saturation des données d'identification :
- authentification multi-facteurs (MFA) : Les attaques de type "Credential stuffing" reposent sur la capacité de l'attaquant à se connecter à un compte à l'aide d'un simple nom d'utilisateur et d'un mot de passe. La mise en œuvre de l'AMF ou du 2FA rend ces attaques plus difficiles car l'attaquant a également besoin d'un code à usage unique pour se connecter avec succès.
- CAPTCHA : les attaques de type "Credential stuffing" sont généralement automatisées. La mise en place de CAPTCHA sur les pages de connexion peut empêcher une partie de ce trafic automatisé d'atteindre le site et de tester les mots de passe potentiels.
- Solutions anti-bots : Au-delà des CAPTCHA, les organisations peuvent également déployer des solutions anti-bots pour bloquer le trafic de credential stuffing. Ces solutions utilisent les anomalies comportementales pour différencier les visiteurs humains et automatisés d'un site et pour bloquer le trafic suspect.
- Website Traffic Monitoring: A credential stuffing attack involves a massive volume of failed login attempts. Monitoring traffic to login pages may allow an organization to block or throttle these attacks.
- Vérifier les informations d'identification divulguées : Les robots de bourrage d'identifiants utilisent généralement des listes d'identifiants exposés lors de violations de données. La vérification des mots de passe des utilisateurs par rapport à des listes de mots de passe faibles ou à des services tels que HaveIBeenPwned peut aider à déterminer si le mot de passe d'un utilisateur est potentiellement vulnérable au credential stuffing.
Prévenir le bourrage d'identité avec Harmony Browse
Check Point’s Harmony Browse protect against credential stuffing in a couple of different ways, including:
- Blocage de la réutilisation des mots de passe : Lorsqu'un employé crée un nouveau mot de passe sur un site web, Harmony Browse vérifie s'il a utilisé le même mot de passe pour d'autres comptes. En bloquant la réutilisation des mots de passe, Harmony Browse réduit la menace d'attaques de type "credential stuffing".
- Protéger les informations d'identification des utilisateurs : Les listes utilisées dans les attaques par bourrage d'identifiants comprennent souvent des identifiants volés à l'aide d'attaques par hameçonnage. Harmony Browse bloque les sites de hameçonnage de type "zero-day" conçus pour voler ces informations d'identification.
Pour voir Harmony Browse en action, regardez cette vidéo.
Commentaires