Credential stuffing

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche

Le credential stuffing est un type de cyberattaque où des informations de comptes volées consistant généralement en des listes d'identifiants et les mots de passe associés (souvent obtenus de manière frauduleuse) sont utilisés pour obtenir un accès non autorisé à des comptes utilisateurs par le biais de demandes de connexion automatisée à grande échelle adressées à des applications Web[1].

Contrairement au cassage de mot de passe, une attaque de credential stuffing ne tente pas de trouver un mot de passe par une attaque par force brute. L'attaquant automatise plutôt des tentatives de connexions en utilisant de milliers ou même de millions de paires d'identifiants / mots de passe précédemment découverts. Pour ce faire, il utilise des outils d'automatisation Web standards comme Selenium, cURL, PhantomJS ou des outils conçus spécifiquement pour ces types d'attaques comme Sentry MBA[2],[3].

Origine du terme[modifier | modifier le code]

Le terme credential stuffing a été créé par Sumit Agarwal, cofondateur de Shape Security. Sumit Agarwal était à l'époque Deputy Assistant Secretary of Defense (en) au Pentagone[4].

Importance du problème[modifier | modifier le code]

Les attaques de credential stuffing sont considérées comme l'une des principales menaces pour les applications Web et mobiles en raison du volume des divulgations malveillantes de paires d'identifiants / mots de passe. Rien qu'en 2016, plus de 3 milliards de telles paires ont été divulguées à la suite de vols de données[5].

Incidents[modifier | modifier le code]

Le 20 août 2018, Superdrug du Royaume-Uni a été la cible d'une tentative de chantage. Des pirates ont prétendu avoir pénétré sur le site du pharmacien et avoir téléchargé 20 000 enregistrements d'utilisateur. Une investigation a montré que les pirates bluffaient et les preuves bidons qu'ils présentaient avaient très probablement été obtenues à partir de credential stuffing, donc à cause de pratiques de sécurité insuffisantes de la part des clients de Superdrug et non à cause de faiblesses dans la sécurité du système de la compagnie[6],[7].

En octobre-novembre 2016, des attaquants ont eu accès à un répertoire GitHub privé utilisé par des développeurs d'Uber (Uber BV et Uber UK), en utilisant les identifiants et les mots de passe d'employés qui avaient été compromis lors de précédentes cyberattaques. Les pirates ont dit avoir piraté les comptes d'utilisateurs de 12 employés à l'aide de credential stuffing, car les adresses électroniques et les mots de passe de ces employés avaient été réutilisés sur d'autres plates-formes. L'authentification multi ou bifactorielle, bien que disponible, n'avait pas été activée pour les comptes concernés.

Les pirates ont ensuite obtenu l'accès à la base de données AWS de la société et ont ainsi pu accéder aux enregistrements de 32 millions d'utilisateurs non américains et de 3,7 millions de conducteurs non américains, ainsi qu'à d'autres données contenues dans plus de 100 fichiers Amazon S3. Les attaquants ont alerté Uber, exigeant le paiement de 100 000 $ pour supprimer les données. L'entreprise a payé la rançon par l'entremise d'un programme bug bounty, mais n'a pas divulgué l'incident aux parties touchées pendant plus d'un an. Après la découverte de l'infraction, l'entreprise a été condamnée à une amende de 385 000 £ (pouvant être réduite à 308 000 £) par le Information Commissioner's Office du Royaume-Uni[8].

Références[modifier | modifier le code]

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Credential stuffing » (voir la liste des auteurs).
  1. « Credential Stuffing », OWASP
  2. « Credential Spill Report », Shape Security,  : « The most popular credential stuffing tool, Sentry MBA, uses “config” files for target websites that contain all the login sequence logic needed to automate login attempts », p. 23
  3. « Use of credential stuffing tools - NCSC »
  4. Kevin Townsend, « Credential Stuffing: a Successful and Growing Attack Methodology », Security Week, (consulté le 19 février 2017)
  5. Ericka Chickowski, « Credential-Stuffing Attacks Take Enterprise Systems By Storm », DarkReading, (consulté le 19 février 2017)
  6. « Super-mugs: Hackers claim to have snatched 20k customer records from Brit biz Superdrug »
  7. « Superdrug Rebuffs Super Ransom After Supposed Super Heist - Finance Crypto Community »,
  8. « Monetary Penalty Notice (Uber) », Information Commissioner's Office,

Voir aussi[modifier | modifier le code]

Liens externes[modifier | modifier le code]