Accueil🇫🇷Chercher

Credential stuffing

Le bourrage d’identifiants est un type de cyberattaque où des informations de comptes volées consistant généralement en des listes d'identifiants et les mots de passe associés (souvent obtenus de manière frauduleuse) sont utilisés pour obtenir un accès non autorisé à des comptes utilisateurs par le biais de demandes de connexion automatisée à grande échelle adressées à des applications Web[1].

Contrairement au cassage de mot de passe, une attaque par bourrage d’identifiants ne tente pas de trouver un mot de passe par une attaque par force brute. L'attaquant automatise plutôt des tentatives de connexions en utilisant des milliers ou même des millions de paires d'identifiants / mots de passe précédemment découverts. Pour ce faire, il utilise des outils d'automatisation Web standards comme Selenium, cURL, PhantomJS ou des outils conçus spécifiquement pour ces types d'attaques comme Sentry MBA[2] - [3].

Origine du terme

Le terme credential stuffing a été créé par Sumit Agarwal, cofondateur de Shape Security. Sumit Agarwal était à l'époque Deputy Assistant Secretary of Defense (en) au Pentagone[4].

Importance du problème

Les attaques par bourrage d’identifiants sont considérées comme l'une des principales menaces pour les applications Web et mobiles en raison du volume des divulgations malveillantes de paires d'identifiants / mots de passe. Rien qu'en 2016, plus de 3 milliards de telles paires ont été divulguées à la suite de vols de données[5].

Incidents

Le 20 août 2018, Superdrug du Royaume-Uni a été la cible d'une tentative de chantage. Des pirates ont prétendu avoir pénétré sur le site du pharmacien et avoir téléchargé 20 000 identifiants d'utilisateur. Une investigation a montré que les pirates bluffaient et les fausses preuves qu'ils présentaient avaient très probablement été obtenues grâce au bourrage d’identifiants, donc à cause de pratiques de sécurité insuffisantes de la part des clients de Superdrug et non à cause de faiblesses dans la sécurité du système de la compagnie[6] - [7].

En octobre-novembre 2016, des attaquants ont eu accès à un répertoire GitHub privé utilisé par des développeurs d'Uber (Uber BV et Uber UK), en utilisant les identifiants et les mots de passe d'employés qui avaient été compromis lors de précédentes cyberattaques. Les pirates ont dit avoir piraté les comptes d'utilisateurs de 12 employés à l'aide du bourrage d’identifiants, car les adresses électroniques et les mots de passe de ces employés avaient été réutilisés sur d'autres plates-formes. L'authentification multi ou bifactorielle, bien que disponible, n'avait pas été activée pour les comptes concernés.

Les pirates ont ensuite obtenu l'accès à la base de données AWS de la société et ont ainsi pu accéder aux enregistrements de 32 millions d'utilisateurs non américains et de 3,7 millions de conducteurs non américains, ainsi qu'à d'autres données contenues dans plus de 100 fichiers Amazon S3. Les attaquants ont alerté Uber, exigeant le paiement de 100 000 $ pour supprimer les données. L'entreprise a payé la rançon par l'entremise d'un programme bug bounty, mais n'a pas divulgué l'incident aux parties touchées pendant plus d'un an. Après la découverte de l'infraction, l'entreprise a été condamnée à une amende de 385 000 £ (pouvant être réduite à 308 000 £) par le Information Commissioner's Office du Royaume-Uni[8].

Références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Credential stuffing » (voir la liste des auteurs).
  1. « Credential Stuffing », OWASP
  2. « Credential Spill Report », Shape Security,  : « The most popular credential stuffing tool, Sentry MBA, uses “config” files for target websites that contain all the login sequence logic needed to automate login attempts », p. 23
  3. « Use of credential stuffing tools - NCSC »
  4. Kevin Townsend, « Credential Stuffing: a Successful and Growing Attack Methodology », Security Week, (consulté le )
  5. Ericka Chickowski, « Credential-Stuffing Attacks Take Enterprise Systems By Storm », DarkReading, (consulté le )
  6. « Super-mugs: Hackers claim to have snatched 20k customer records from Brit biz Superdrug »
  7. « Superdrug Rebuffs Super Ransom After Supposed Super Heist - Finance Crypto Community »,
  8. « Monetary Penalty Notice (Uber) », Information Commissioner's Office,

Voir aussi

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.