Credential stuffing

Le credential stuffing est un type de cyberattaque où des informations de comptes volées consistant généralement en des listes d'identifiants et les mots de passe associés (souvent obtenus de manière frauduleuse) sont utilisés pour obtenir un accès non autorisé à des comptes utilisateurs par le biais de demandes de connexion automatisée à grande échelle adressées à des applications Web^[1].

Contrairement au cassage de mot de passe, une attaque par credential stuffing ne tente pas de trouver un mot de passe par une attaque par force brute. L'attaquant automatise plutôt des tentatives de connexions en utilisant des milliers ou même des millions de paires d'identifiants / mots de passe précédemment découverts. Pour ce faire, il utilise des outils d'automatisation Web standards comme Selenium, cURL, PhantomJS ou des outils conçus spécifiquement pour ces types d'attaques comme Sentry MBA^[2]^,^[3].

Origine du terme

Le terme credential stuffing a été créé par Sumit Agarwal, cofondateur de Shape Security. Sumit Agarwal était à l'époque Deputy Assistant Secretary of Defense (en) au Pentagone^[4].

Importance du problème

Les attaques par credential stuffing sont considérées comme l'une des principales menaces pour les applications Web et mobiles en raison du volume des divulgations malveillantes de paires d'identifiants / mots de passe. En 2016, plus de 3 milliards de telles paires ont été divulguées à la suite de vols de données^[5].

Incidents

Le 20 août 2018, Superdrug au Royaume-Uni a été la cible d'une tentative de chantage. Des pirates ont prétendu avoir pénétré sur le site du pharmacien et avoir téléchargé 20 000 identifiants d'utilisateur. Une investigation a montré que les pirates bluffaient et les fausses preuves qu'ils présentaient avaient très probablement été obtenues grâce au credential stuffing, donc à cause de pratiques de sécurité insuffisantes de la part des clients de Superdrug et non à cause de faiblesses dans la sécurité du système de la compagnie^[6]^,^[7].

En octobre – novembre 2016, des attaquants ont eu accès à un répertoire GitHub privé utilisé par des développeurs d'Uber (Uber BV et Uber UK), en utilisant les identifiants et les mots de passe d'employés qui avaient été compromis lors de précédentes cyberattaques. Les pirates ont dit avoir piraté les comptes d'utilisateurs de 12 employés à l'aide du credential stuffing, car les adresses électroniques et les mots de passe de ces employés avaient été réutilisés sur d'autres plates-formes. L'authentification multi ou bifactorielle, bien que disponible, n'avait pas été activée pour les comptes concernés.

Les pirates ont ensuite obtenu l'accès à la base de données AWS de la société et ont ainsi pu accéder aux enregistrements de 32 millions d'utilisateurs non américains et de 3,7 millions de conducteurs non américains, ainsi qu'à d'autres données contenues dans plus de 100 fichiers Amazon S3. Les attaquants ont alerté Uber, exigeant le paiement de 100 000 $ pour supprimer les données. L'entreprise a payé la rançon par l'entremise d'un programme bug bounty, mais n'a pas divulgué l'incident aux parties touchées pendant plus d'un an. Après la découverte de l'infraction, l'entreprise a été condamnée à une amende de 385 000 £ (pouvant être réduite à 308 000 £) par le Information Commissioner's Office du Royaume-Uni^[8].

Références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Credential stuffing » (voir la liste des auteurs).

↑ (en) Neal Mueller (avec Jmanico, Dirk Wetter, kingthorin, Nick Malcolm, Jahanrajkar Singh), « Credential Stuffing », sur owasp.org, Open Worldwide Application Security Project.
↑ (en) « Credential Spill Report » [PDF], Shape Security, janvier 2017 (version du 15 février 2017 sur Internet Archive), p. 23 : « The most popular credential stuffing tool, Sentry MBA, uses “config” files for target websites that contain all the login sequence logic needed to automate login attempts ».
↑ (en) « Use of credential stuffing tools », sur ncsc.gov.uk, National Cyber Security Centre, 19 novembre 2018.
↑ (en) Kevin Townsend, « Credential Stuffing: a Successful and Growing Attack Methodology », sur Security Week, 17 janvier 2017 (consulté le 19 février 2017).
↑ (en) Ericka Chickowski, « Credential-Stuffing Attacks Take Enterprise Systems By Storm », sur DarkReading, 17 janvier 2017 (consulté le 19 février 2017).
↑ (en) Paul Kunert, « Super-mugs: Hackers claim to have snatched 20k customer records from Brit biz Superdrug », The Register, 21 août 2018.
↑ (en) Mathew J. Schwartz, « Superdrug Rebuffs Super Ransom After Supposed Super Heist », Euro Security Watch, sur databreachtoday.com, 22 août 2018.
↑ (en) « Monetary Penalty Notice (Uber) » [PDF], Information Commissioner's Office, 26 novembre 2018 (version du 28 novembre 2018 sur Internet Archive).

Voir aussi

Have I Been Pwned?, site permettant de vérifier si un comptes a été compromis lors d'une cyberattaque, ce qui signifie que le mot de passe de ce compte est susceptible d'être exploité dans une attaque par credential stuffing

Portail de la sécurité informatique

[1] (en) Neal Mueller (avec Jmanico, Dirk Wetter, kingthorin, Nick Malcolm, Jahanrajkar Singh), « Credential Stuffing », sur owasp.org, Open Worldwide Application Security Project.

[2] (en) « Credential Spill Report » [PDF], Shape Security, janvier 2017 (version du 15 février 2017 sur Internet Archive), p. 23 : « The most popular credential stuffing tool, Sentry MBA, uses “config” files for target websites that contain all the login sequence logic needed to automate login attempts ».

[3] (en) « Use of credential stuffing tools », sur ncsc.gov.uk, National Cyber Security Centre, 19 novembre 2018.

[4] (en) Kevin Townsend, « Credential Stuffing: a Successful and Growing Attack Methodology », sur Security Week, 17 janvier 2017 (consulté le 19 février 2017).

[5] (en) Ericka Chickowski, « Credential-Stuffing Attacks Take Enterprise Systems By Storm », sur DarkReading, 17 janvier 2017 (consulté le 19 février 2017).

[6] (en) Paul Kunert, « Super-mugs: Hackers claim to have snatched 20k customer records from Brit biz Superdrug », The Register, 21 août 2018.

[7] (en) Mathew J. Schwartz, « Superdrug Rebuffs Super Ransom After Supposed Super Heist », Euro Security Watch, sur databreachtoday.com, 22 août 2018.

[8] (en) « Monetary Penalty Notice (Uber) » [PDF], Information Commissioner's Office, 26 novembre 2018 (version du 28 novembre 2018 sur Internet Archive).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]