Credential stuffing

Le bourrage d’identifiants est un type de cyberattaque où des informations de comptes volées consistant généralement en des listes d'identifiants et les mots de passe associés (souvent obtenus de manière frauduleuse) sont utilisés pour obtenir un accès non autorisé à des comptes utilisateurs par le biais de demandes de connexion automatisée à grande échelle adressées à des applications Web^[1].

Contrairement au cassage de mot de passe, une attaque par bourrage d’identifiants ne tente pas de trouver un mot de passe par une attaque par force brute. L'attaquant automatise plutôt des tentatives de connexions en utilisant des milliers ou même des millions de paires d'identifiants / mots de passe précédemment découverts. Pour ce faire, il utilise des outils d'automatisation Web standards comme Selenium, cURL, PhantomJS ou des outils conçus spécifiquement pour ces types d'attaques comme Sentry MBA^[2]^,^[3].

Origine du terme[modifier | modifier le code]

Le terme credential stuffing a été créé par Sumit Agarwal, cofondateur de Shape Security. Sumit Agarwal était à l'époque Deputy Assistant Secretary of Defense (en) au Pentagone^[4].

Importance du problème[modifier | modifier le code]

Les attaques par bourrage d’identifiants sont considérées comme l'une des principales menaces pour les applications Web et mobiles en raison du volume des divulgations malveillantes de paires d'identifiants / mots de passe. Rien qu'en 2016, plus de 3 milliards de telles paires ont été divulguées à la suite de vols de données^[5].

Incidents[modifier | modifier le code]

Le 20 août 2018, Superdrug du Royaume-Uni a été la cible d'une tentative de chantage. Des pirates ont prétendu avoir pénétré sur le site du pharmacien et avoir téléchargé 20 000 identifiants d'utilisateur. Une investigation a montré que les pirates bluffaient et les fausses preuves qu'ils présentaient avaient très probablement été obtenues grâce au bourrage d’identifiants, donc à cause de pratiques de sécurité insuffisantes de la part des clients de Superdrug et non à cause de faiblesses dans la sécurité du système de la compagnie^[6]^,^[7].

En octobre-novembre 2016, des attaquants ont eu accès à un répertoire GitHub privé utilisé par des développeurs d'Uber (Uber BV et Uber UK), en utilisant les identifiants et les mots de passe d'employés qui avaient été compromis lors de précédentes cyberattaques. Les pirates ont dit avoir piraté les comptes d'utilisateurs de 12 employés à l'aide du bourrage d’identifiants, car les adresses électroniques et les mots de passe de ces employés avaient été réutilisés sur d'autres plates-formes. L'authentification multi ou bifactorielle, bien que disponible, n'avait pas été activée pour les comptes concernés.

Les pirates ont ensuite obtenu l'accès à la base de données AWS de la société et ont ainsi pu accéder aux enregistrements de 32 millions d'utilisateurs non américains et de 3,7 millions de conducteurs non américains, ainsi qu'à d'autres données contenues dans plus de 100 fichiers Amazon S3. Les attaquants ont alerté Uber, exigeant le paiement de 100 000 $ pour supprimer les données. L'entreprise a payé la rançon par l'entremise d'un programme bug bounty, mais n'a pas divulgué l'incident aux parties touchées pendant plus d'un an. Après la découverte de l'infraction, l'entreprise a été condamnée à une amende de 385 000 £ (pouvant être réduite à 308 000 £) par le Information Commissioner's Office du Royaume-Uni^[8].

Références[modifier | modifier le code]

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Credential stuffing » (voir la liste des auteurs).

↑ « Credential Stuffing », OWASP
↑ « Credential Spill Report », Shape Security, janvier 2017 : « The most popular credential stuffing tool, Sentry MBA, uses “config” files for target websites that contain all the login sequence logic needed to automate login attempts », p. 23
↑ « Use of credential stuffing tools - NCSC »
↑ Kevin Townsend, « Credential Stuffing: a Successful and Growing Attack Methodology », Security Week, 17 janvier 2017 (consulté le 19 février 2017)
↑ Ericka Chickowski, « Credential-Stuffing Attacks Take Enterprise Systems By Storm », DarkReading, 17 janvier 2017 (consulté le 19 février 2017)
↑ « Super-mugs: Hackers claim to have snatched 20k customer records from Brit biz Superdrug »
↑ « Superdrug Rebuffs Super Ransom After Supposed Super Heist - Finance Crypto Community », 23 août 2018
↑ « Monetary Penalty Notice (Uber) », Information Commissioner's Office, 27 novembre 2018

Voir aussi[modifier | modifier le code]

Liens externes[modifier | modifier le code]

(en) Définition du bourrage d’identifiants sur le Open Web Application Security Project (OWASP)
(en) HaveIBeenPwned - Vérifiez si un de vos comptes a été compromis lors d'une cyberattaque, ce qui signifie que le mot de passe de ce compte est susceptible d'être exploité dans une attaque par bourrage d’identifiants

Portail de la sécurité informatique

[1] « Credential Stuffing », OWASP

[2] « Credential Spill Report », Shape Security, janvier 2017 : « The most popular credential stuffing tool, Sentry MBA, uses “config” files for target websites that contain all the login sequence logic needed to automate login attempts », p. 23

[3] « Use of credential stuffing tools - NCSC »

[4] Kevin Townsend, « Credential Stuffing: a Successful and Growing Attack Methodology », Security Week, 17 janvier 2017 (consulté le 19 février 2017)

[5] Ericka Chickowski, « Credential-Stuffing Attacks Take Enterprise Systems By Storm », DarkReading, 17 janvier 2017 (consulté le 19 février 2017)

[6] « Super-mugs: Hackers claim to have snatched 20k customer records from Brit biz Superdrug »

[7] « Superdrug Rebuffs Super Ransom After Supposed Super Heist - Finance Crypto Community », 23 août 2018

[8] « Monetary Penalty Notice (Uber) », Information Commissioner's Office, 27 novembre 2018

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]