Credential Stuffing

La plupart des sites web proposant un espace authentifié, comme une plateforme de e-commerce, peut être soumis à un type d’attaque répandu : le bourrage d’identifiants ou credential stuffing.

Quel est le mode opératoire d’un credential stuffing ?

Généralement, l’attaque s’opère de la façon suivante : le cyberattaquant prend une liste de noms d’utilisateurs (une adresse électronique par exemple) et de mots de passe obtenus suite à une fuite de données d’une organisation quelconque pour ensuite les utiliser afin de tenter de se connecter au site d’une autre organisation.

L’attaquant, partant du principe que les utilisateurs se servent souvent des mêmes couples identifiants et mots de passe sur plusieurs sites, cible des sites souvent peu sécurisés et tente une grande quantité de connexions par l’intermédiaire de « robots ». Une fois la connexion réussie, il peut alors changer le mot de passe pour que l’utilisateur ne puisse plus utiliser son compte voire même faire des achats si la carte bancaire est enregistrée.

Qu’est-ce qui rend efficace le credential stuffing ?

D’un point de vue statistique, les attaques de credential stuffing ont un taux de réussite très faible. De nombreuses estimations évaluent ce taux à environ O,1% ce qui signifie que pour chaque millier de comptes qu’un cyberattaquant tente de craquer, son taux de réussite est d’environ une fois sur mille. Seulement, un attaquant peut répéter le processus avec le même ensemble d’identifiants sur de nombreux autres services. La principale raison de l’efficacité de ces attaques tient à la réutilisation des mots de passe. Des études suggèrent que la majorité des utilisateurs (certaines estimations allant jusqu’à 85%) réutilisent les mêmes informations de connexion pour plusieurs services.