Credential stuffing : qu’est-ce que c’est et comment s’en protéger ?

Vous avez remarqué des opérations frauduleuses sur votre compte en banque ou votre compte de réseau social, ou encore une tentative de phishing Paypal ? C’est peut-être le signe d’une attaque de type credential stuffing. 

Credential stuffing, piratage de mots de passe

Qu’est-ce que c’est ?

Le credential stuffing est une attaque informatique qui consiste à tester de grandes quantités d’identifiants et de mots de passe volés sur des sites web pour accéder à des comptes utilisateurs. Pour cela, les cybercriminels suivent plusieurs étapes.

  • Ils choisissent des sites web cibles et étudient le processus de connexion aux comptes utilisateurs.
  • Ils écrivent un script qui permet d’automatiser les tentatives de connexion aux sites cibles.
  • Comme les scripts essayent des milliers d’identifiants/mots de passe en peu de temps, les hackers utilisent des botnets, c’est-à-dire des centaines d’ordinateurs contrôlés à distance grâce à un logiciel malveillant. Ils peuvent aussi utiliser des listes d’adresses IP via un proxy. Ces techniques permettent de faire croire à un site cible que le trafic provient d’utilisateurs différents et de l’empêcher de détecter l’attaque. 
  • Les attaquants reçoivent ensuite les résultats de ces tentatives. Pour chaque combinaison identifiant/mot de passe, le système indique à quel(s) site(s) l’accès est permis. En général, les hackers accèdent à entre 0,5 et 2 % des comptes utilisateurs pour chaque site cible.
  • Une fois que les cybercriminels ont accès aux comptes, il ne leur reste plus qu’à en prendre le contrôle. Ils peuvent par exemple effectuer des virements à partir d’un compte bancaire piraté, usurper une identité sur un réseau social, réaliser des achats… 

Les techniques de piratage de mots de passe

Maintenant que vous avez compris le principe du credential stuffing, vous vous demandez sûrement comment les cybercriminels ont accès à tant d’identifiants et mots de passe. La manière la plus simple est de se les procurer est d’aller sur le dark web. Sur ce réseau, il est possible d’acheter des bases de données entières pouvant contenir plusieurs centaines de milliers à un million d’identifiants/mots de passe. 

Mais comment ces mots de passe et identifiants ont-ils été collectés ? Il existe plusieurs méthodes.

  • L’hameçonnage ou phishing, qui consiste à envoyer un email en incitant la victime potentielle à entrer ses données confidentielles.
  • Les logiciels malveillants, comme les enregistreurs de frappe, installés par les utilisateurs sur leurs appareils à leur insu. Ces logiciels collectent les données et les envoient aux cybercriminels.
  • L’attaque par force brute, qui consiste à deviner un mot de passe en testant des millions de combinaisons.
  • L’accès à un appareil via un réseau Wi-Fi public. Les pirates peuvent en effet intercepter des données personnelles en espionnant un appareil non protégé connecté à un réseau public.

Comment se protéger d’une attaque credential stuffing ?

Les bonnes pratiques

En prenant de bonnes habitudes, vous pouvez échapper au credential stuffing. 

  • Pour vos mots de passe, optez pour une combinaison de 8 caractères au minimum et utilisez des chiffres, des minuscules, des majuscules et des caractères spéciaux (voir les mots de passe les plus utilisés).
  • Utilisez des mots de passe différents pour vos comptes utilisateurs. Si l’un de vos mots de passe venait à tomber entre les mains des cybercriminels, il ne serait valable que pour un seul compte.
  • Par sécurité, évitez de vous connecter sur des réseaux publics, à moins que vous n’utilisiez Kaspersky VPN qui crypte vos communications.

Du côté des sites web pouvant être potentiellement ciblés par des attaques de credential stuffing, il existe des outils, comme ceux développés par la société Akamai Technologies, pour détecter un trafic généré par des bots malveillants.

Utiliser un gestionnaire de mots de passe

Le credential stuffing est aggravé par le fait que les internautes utilisent très souvent un même mot de passe pour plusieurs sites ou applications, car il est difficile de mémoriser des dizaines de mots de passe. Ainsi, lorsque les pirates informatiques disposent d’une combinaison identifiant/mot de passe, il y a des chances que celle-ci leur donne accès à plusieurs comptes. Comment faire dans ce cas ? 

La meilleure solution est d’utiliser un password manager (gestionnaire de mot de passe, en français) comme Kaspersky Password Manager. Ce type d’outil intègre plusieurs fonctionnalités :

  • création de mots de passe forts et uniques pour tous vos comptes ;
  • saisie automatique de vos mots de passe ;
  • stockage de vos données confidentielles dans un coffre-fort numérique (identifiants de connexion, notes, images, données bancaires…) ;
  • synchronisation sur tous vos appareils.
Découvrez Kaspersky Total Security