Qu’est-ce qu’une attaque de bourrage d’informations d’identification?
Le bourrage d'informations d'identification est un type de cyberattaque qui consiste à « bourrer '' des informations d'identification volées dans plusieurs sites Web.
Des outils tels que les bots ont permis aux pirates d'automatiser le bourrage, leur permettant de tester des millions d'informations de connexion sur des dizaines de sites en peu de temps. Voici ce que vous devez savoir sur cette attaque et les moyens simples de vous protéger.
Qu'est-ce que le remplissage des informations d'identification?
Le bourrage d'informations d'identification consiste à entasser une grande collection de mots de passe et de noms d'utilisateur volés dans plusieurs sites Web. Ils dépendent des violations de monstres et des fuites colportées sur le dark web pour leurs données. L'objectif est d'utiliser les millions de combinaisons de connexion et de nom d'utilisateur des fuites précédentes pour infiltrer d'autres sites Web.
Saviez-vous que la réutilisation de #passwords et l'absence de #multifactorauthentication ouvrent la voie à des attaques #credentialstuffing . En fait, le FBI affirme que 41% de toutes les attaques du secteur financier entre 2017 et 2020 étaient dues au bourrage d'informations d'identification. https://t.co/h99KM6RPL7 pic.twitter.com/4IEEEwbZ2n
– Simon Heslop (@ supersi101) 9 décembre 2020
Ils s'appuient sur une erreur humaine pour réussir leurs attaques – en utilisant le même nom d'utilisateur et / ou mot de passe sur plusieurs sites. Selon des recherches, 85% de tous les utilisateurs recyclent leurs mots de passe sur différents comptes.
Et c'est ce genre de pensée qui permet aux cybercriminels d'utiliser les informations de connexion d'une violation de site Web pour accéder à d'autres services.
Le taux de réussite est assez faible, de 0,1 à environ 2%. Cela signifie que pour chaque million d'identifiants de connexion testés, seulement environ 1000 identifiants peuvent être utilisés pour accéder à d'autres sites Web. Mais ce qui fait que leurs efforts en valent la peine, c'est la mine d'or de données qu'ils peuvent collecter à partir de chaque compte qu'ils infiltrent.
Disons qu'ils parviennent à pirater un millier de comptes et que ceux-ci ont des informations bancaires ou des identifiants de carte de crédit. Ils peuvent siphonner des fonds ou les utiliser pour commettre d'autres formes de fraude. D'autres informations personnellement identifiables (PII) comme les numéros de sécurité sociale ou les informations fiscales peuvent être utilisées pour commettre des crimes comme le vol d'identité.
Les cybercriminels monétisent tout ce qu'ils trouvent dans chaque compte, ce qui rend l'attaque en vaut la peine malgré le très faible taux de correspondance des connexions.
Comment se déroule une attaque de bourrage?
Bien sûr, les pirates n'entrent pas manuellement les informations de connexion volées une par une dans différents sites Web, car ils ont besoin de millions (voire de milliards) d'informations de connexion volées pour que l'attaque en vaille la peine.
Au lieu de cela, les informations d'identification fissurées provenant de violations de données sont chargées dans des botnets qui lancent des tentatives de connexion automatisées. Ils utilisent ensuite d'autres outils pour échapper à la détection.
Un seul botnet peut effectuer des milliers de tentatives de connexion par heure. Par exemple, une attaque de bourrage d'informations d'identification en 2016 a utilisé un botnet qui a envoyé plus de 270000 demandes de connexion sur plusieurs sites par heure.
Comment les attaques de bourrage peuvent-elles échapper à la détection?
Alors que de nombreux sites utilisent des mesures de sécurité pour détecter plusieurs connexions non autorisées, les pirates ont trouvé des moyens de contourner ces mesures.
Une liste de proxy est utilisée pour renvoyer les demandes et masquer la source ou, tout simplement, donner l'impression que les demandes de connexion proviennent de différents endroits. Ils utilisent également d'autres outils pour donner l'impression que les tentatives de connexion multiples proviennent de différents navigateurs.
Cela est dû au fait que plusieurs tentatives de connexion à partir d'un seul type de navigateur (un millier par heure, par exemple) semblent suspectes et ont plus de chances d'être signalées comme frauduleuses.
Toutes ces techniques imitent l'activité de connexion légitime de milliers d'utilisateurs à différents endroits. Cela rend le vecteur d'attaque simple, mais difficile à détecter.
Quelle est la différence entre le bourrage d'informations d'identification et les attaques par force brute?
Credential Stuffing est un sous-type d'attaque par force brute qui est beaucoup plus puissant car il est plus ciblé.
Une attaque par force brute consiste essentiellement à deviner les mots de passe en utilisant différentes combinaisons de caractères aléatoires. Ils utilisent un logiciel automatisé pour faire plusieurs suppositions en testant plusieurs combinaisons possibles jusqu'à ce que le mot de passe soit découvert. Cela se fait sans contexte.
#credentialstuffing #cybersecurityminiseries #ntellitechs #infographic #tech pic.twitter.com/IPuiyja79v
– Ntellitechs (@ntellitechs) 7 décembre 2020
Le bourrage d'informations d'identification, en revanche, utilise les informations de connexion et les mots de passe des violations de données précédentes. Ils utilisent une paire mot de passe-nom d'utilisateur provenant d'une fuite d'un site Web, puis la testent sur d'autres services.
Bien que l'utilisation de mots de passe forts puisse vous protéger contre les attaques par force brute, cela est inutile si vous utilisez le même mot de passe sur d'autres sites Web, lorsqu'une attaque de bourrage est lancée.
Quelle est la différence entre le bourrage d'informations d'identification et le dumping d'informations d'identification?
Bien que cela puisse sembler identique, le vidage d'informations d'identification est un type d'attaque différent qui cible un point d'entrée ou une machine pour infiltrer un réseau.
Alors que le bourrage des informations d'identification utilise plusieurs informations de connexion provenant de violations précédentes pour accéder à d'autres sites Web, le vidage des informations d'identification implique d'entrer dans une machine et d'extraire plusieurs informations de connexion.
Cela se fait en accédant aux informations d'identification mises en cache dans les nombreux registres de l'ordinateur ou en extrayant les informations d'identification de la base de données SAM (Security Account Manager). Ce dernier contient tous les comptes créés avec des mots de passe enregistrés sous forme de hachages.
Le but de l'attaque de dumping d'informations d'identification est de prendre pied dans le réseau ou d'être admis dans d'autres ordinateurs du système. Après avoir extrait les informations de connexion d'une machine, un pirate peut entrer à nouveau dans l'appareil ou accéder à l'ensemble du réseau pour causer plus de dommages.
Contrairement au bourrage, une attaque de vidage d'informations d'identification utilise un point d'entrée, une machine avec des vulnérabilités non corrigées pour infiltrer un réseau.
Comment vous protégez-vous contre une attaque de bourrage?
Pour la plupart des utilisateurs, le moyen le meilleur et le plus simple de se protéger est d'utiliser des mots de passe uniques pour chaque site Web ou compte. À tout le moins, faites-le pour ceux qui ont vos informations sensibles telles que les coordonnées bancaires ou de carte de crédit.
L'activation de l'authentification à deux facteurs (2FA) ou de l'authentification à plusieurs facteurs (MFA) contribue à rendre la prise de contrôle de compte plus difficile pour les pirates. Ceux-ci reposent sur un moyen de validation secondaire, à savoir l'envoi d'un code à votre numéro de téléphone ainsi que la demande de votre nom d'utilisateur et de votre mot de passe.
Si vous trouvez que la mémorisation de plusieurs mots de passe et noms d'utilisateur est source de confusion, vous pouvez utiliser un gestionnaire de mots de passe fiable. Si vous n'êtes pas sûr de leur sécurité, consultez les méthodes sécurisées utilisées par les gestionnaires de mots de passe .
Ou essayez un gestionnaire de mots de passe open-source .
Protégez vos mots de passe
Votre mot de passe est comme une clé de votre maison. Il doit être unique, solide et, surtout, vous devez le garder en lieu sûr à tout moment.
Ceux-ci doivent également être mémorables et sécurisés. Vous pouvez explorer différents outils de mot de passe qui peuvent vous aider à créer des outils uniques mais mémorables qui sont difficiles à craquer pour les pirates.