Les attaques par bourrage d’identifiants utilisent des processus automatisés pour tester des listes de paires volées de noms d’utilisateur et de mots de passe et obtenir un accès non autorisé aux sites web et aux applications. Ces attaques peuvent causer des dégâts s’élevant à des millions de dollars. Cette tactique réussit en partie parce que, même si les utilisateurs et utilisatrices peuvent être invités à créer un mot de passe plus complexe, les politiques de complexité des mots de passe n’ont aucun moyen de tenir compte du fait que les personnes utilisent les mêmes identifiants sur divers sites web ou services.
Ci-dessous, nous examinerons de plus près ce qu’est le bourrage d’identifiants, en quoi il diffère de la force brute et de la pulvérisation de mots de passe, les types de fraude qui peuvent suivre une prise de contrôle réussie, et comment stopper le bourrage d’identifiants en mettant en place une défense à plusieurs niveaux.
Points clés
Le bourrage d’identifiants exploite la réutilisation de mots de passe sur divers comptes. Les politiques de mots de passe forts sont inefficaces en tant que défense autonome contre ce type d’attaque.
Les plateformes SaaS et d’intelligence artificielle (IA) sont exposées au risque d’attaques par bourrage d’identifiants, y compris la prise de contrôle de comptes, l’abus d’API et l’exploitation de niveaux gratuits.
Une défense efficace nécessite la superposition de la détection des robots, de la vérification des identifiants compromis et des signaux partagés sur les points de terminaison de connexion, d’inscription et d’API.
Qu’est-ce que le bourrage d’identifiants?
Le bourrage d’identifiants est une cyberattaque dans laquelle les criminels prennent des paires de noms d’utilisateur et de mots de passe divulguées lors de violations de données antérieures et les testent automatiquement sur d’autres services. Cela fonctionne parce que la réutilisation des mots de passe est courante. Des études montrent systématiquement que de nombreuses personnes utilisent les mêmes identifiants sur plusieurs comptes, 72 % de la génération Z déclarant réutiliser ses mots de passe.
Comment fonctionne le bourrage d’identifiants?
Les auteurs d’attaques par bourrage d’identifiants se procurent des listes d’identifiants, parfois appelées « listes combinées », à partir de bases de données de violations sur des forums criminels et des marchés du darknet. Certaines de ces listes contiennent des centaines de millions de paires vérifiées de noms d’utilisateur et de mots de passe. Ils chargent ces listes dans un logiciel qui peut envoyer des millions de requêtes de connexion, gérer les tests de Turing publics complètement automatisés pour distinguer les ordinateurs des humains (CAPTCHA), effectuer une rotation des adresses de protocole Internet (IP) mandataires et analyser les réponses de réussite ou d’échec.
Pour éviter les règles simples de limitation du débit, les attaquants envoient ces requêtes de connexion depuis des milliers d’adresses différentes, souvent des mandataires résidentiels qui ressemblent à du trafic légitime. Lorsqu’une connexion réussit, l’outil la signale. L’attaquant dispose désormais d’un compte vérifié et fonctionnel et peut extraire les modes de paiement sauvegardés, les données personnelles, l’accès API ou les crédits de compte.
En quoi le bourrage d’identifiants diffère-t-il de la force brute et de la pulvérisation de mots de passe?
Le bourrage d’identifiants, les attaques par force brute et la pulvérisation de mots de passe sont liés, mais structurellement distincts. La contre-mesure appropriée pour l’un n’arrêtera pas nécessairement les autres.
En voici un récapitulatif :
Force brute : une attaque par force brute essaie systématiquement toutes les combinaisons de mots de passe possibles sur un compte précis. C’est coûteux en calcul, lent et largement impraticable contre les points de terminaison de connexion web avec des politiques de verrouillage de compte.
Pulvérisation de mots de passe : une attaque par pulvérisation de mots de passe essaie un ou quelques mots de passe courants (par ex., Motdepasse1!, Bienvenue2024) sur un grand nombre de comptes. Elle est conçue pour rester en dessous des seuils de verrouillage par compte tout en exploitant les choix de mots de passe faibles. Les politiques de mots de passe peuvent empêcher à la base les utilisateurs et utilisatrices d’avoir ces mots de passe courants et constituent une contre-mesure utile.
Bourrage d’identifiants : parfois considéré comme une sous-catégorie des attaques par force brute, le bourrage d’identifiants consiste à soumettre des paires valides de noms d’utilisateur et de mots de passe sur des pages de connexion non confirmées et à prendre le contrôle des comptes auxquels ils accèdent. Les politiques de mots de passe standards ne sont pas d’une grande aide contre le bourrage d’identifiants, car elles ne peuvent pas empêcher la clientèle de réutiliser des mots de passe sur différents comptes.
Quels sont les signes avant-coureurs d’une attaque par bourrage d’identifiants?
Les attaques par bourrage d’identifiants s’affichent rarement sous la forme d’un seul pic spectaculaire. Elles sont plus souvent visibles sous la forme d’une lente accumulation de signes.
Accordez une attention particulière aux aspects suivants :
Taux d’échec de connexion élevés sur l’ensemble des comptes : une attaque par force brute montre de nombreux échecs sur un seul compte. Le bourrage d’identifiants montre un taux d’échec modéré réparti simultanément sur des milliers de comptes. Si votre taux d’échec de connexion de base est de 2 % à 5 % et qu’il passe soudainement de 15 % à 20 % pour l’ensemble des comptes, ce changement justifie une enquête immédiate.
Un afflux soudain de nouvelles adresses IP : les réseaux de mandataires résidentiels génèrent des requêtes à partir d’adresses qui semblent propres sur les listes de réputation. Mais une augmentation des adresses IP qui ne sont jamais venues sur votre plateforme auparavant est un signal important lorsqu’il est corrélé à l’activité de connexion.
Répartitions géographiques inhabituelles : les connexions regroupées dans des régions qui ne correspondent pas aux modèles d’accès historiques d’un compte peuvent indiquer un accès automatisé.
Chaînes d’agents utilisateurs cohérentes sur de nombreuses requêtes : les populations d’utilisateurs et d’utilisatrices légitimes présentent d’énormes variations dans les empreintes de navigateur. Lors des attaques par bourrage d’identifiants, la même chaîne d’agent utilisateur se répète souvent sur des milliers de requêtes, ce qui est un modèle à signaler.
Un rapport tentatives/réussites élevé : les utilisateurs et utilisatrices normaux échouent une ou deux fois, puis réussissent ou réinitialisent leur mot de passe. Les outils de bourrage d’identifiants réussissent rarement, mais génèrent de nombreuses tentatives par session.
Pics de volume inexpliqués au niveau du point de terminaison de connexion : même avec la rotation d’adresses IP, le point de terminaison lui-même reçoit plus de requêtes totales lors d’attaques par bourrage d’identifiants. Une augmentation énorme sans événement marketing correspondant ou sans lancement de produit est un signal d’alarme.
Pourquoi le bourrage d’identifiants est-il dangereux pour les plateformes SaaS et d’IA?
Les auteurs d’attaques par bourrage d’identifiants vérifient les identifiants fonctionnels pour se constituer un portefeuille d’accès. Une fois à l’intérieur, ils peuvent faire encore plus de dégâts.
Si vous exploitez une plateforme SaaS ou d’IA, voici ce que vous devez savoir :
Prise de contrôle de compte et vol de données : une fois à l’intérieur d’un compte client, les attaquants peuvent exfiltrer des données personnelles, des informations de paiement, des fichiers privés ou des communications. Si votre plateforme traite des données commerciales sensibles, un seul compte compromis peut entraîner une exposition au-delà de la cible initiale de l’attaquant.
Monétisation immédiate du compte : les attaquants peuvent encaisser un compte compromis immédiatement. Le compte peut être vidé de ses crédits ou utilisé pour des achats frauduleux, ou les identifiants peuvent être revendus sur des forums criminels.
Fraude par les modes de paiement sauvegardés : les comptes avec des modes de paiement sauvegardés sont des cibles de grande valeur. Les attaquants peuvent initier des achats, transférer des crédits ou rediriger des virements, ce qui crée une exposition financière directe pour la plateforme et ses utilisateurs et utilisatrices.
Fraude par création de compte : après avoir confirmé que votre plateforme possède une valeur accessible, les attaquants commencent souvent à créer d’autres comptes frauduleux. Les essais gratuits, les bonus d’inscription et l’accès API liés aux nouveaux comptes sont tous des cibles.
Abus d’essais gratuits et exploitation du niveau gratuit : le bourrage d’identifiants peut se transformer en d’autres types de fraude. Les attaquants peuvent passer d’un compte à l’autre avec un accès au niveau gratuit pour contourner les limites d’utilisation. Il s’agit d’un problème financier important pour les plateformes d’IA, car l’octroi d’appels à l’API et de crédits d’inférence gratuits coûte directement à la plateforme.
Abus d’API : les comptes sur les plateformes d’IA sont généralement assortis d’un accès API et de quotas d’utilisation. Les attaquants qui prennent le contrôle des comptes peuvent épuiser ces quotas, revendre l’accès ou utiliser les ressources informatiques à leurs propres fins. Tout cela crée des coûts d’infrastructure pour la plateforme.
Fardeau pour le service d’assistance : la clientèle dont les comptes ont été compromis nécessite une prise en charge importante. Les réinitialisations de mot de passe, les contestations pour fraude et les flux de travail de récupération de compte consomment du temps, de l’argent et d’autres ressources.
Atteinte à la réputation : les utilisateurs et utilisatrices dont les comptes sont compromis sur votre plateforme peuvent blâmer celle-ci, peu importe où leurs identifiants ont été divulgués à l’origine.
Comment les plateformes peuvent-elles lutter contre les attaques par bourrage d’identifiants sans nuire à l’expérience de connexion?
La prévention des attaques par bourrage d’identifiants repose sur la superposition de plusieurs défenses afin que chacune d’elles augmente le coût d’une attaque. Voici quelques-unes de vos options.
Limitation du débit nuancée
Si vous mettez en place une limitation du débit globale par adresse IP, les attaquants peuvent la contourner en utilisant la rotation des mandataires. Les approches plus efficaces limitent le débit par compte (par ex., combien de tentatives infructueuses ce compte a-t-il effectuées au cours des 10 dernières minutes?), par empreinte de l’appareil ou par modèle de comportement. Une combinaison est encore meilleure.
Détection des robots et analyse du trafic
Déployez une solution de gestion des robots qui analyse les signaux comportementaux (par ex., modèles de mouvement de la souris, chronométrage des frappes, cadence des requêtes, réponses aux défis JavaScript). Des outils comme Cloudflare Bot Management ou Akamai Bot Manager évaluent le trafic avant même qu’il n’atteigne votre logique d’authentification.
Vérification des identifiants compromis
Le modèle de k-anonymat permet aux utilisateurs et utilisatrices de vérifier si leur mot de passe a été compromis sans partager le mot de passe complet. Des services comme l’outil Pwned Passwords de Have I Been Pwned l’utilisent pour vérifier si le mot de passe d’un utilisateur ou d’une utilisatrice est apparu dans des ensembles de données de violations connus.
Authentification multifactorielle (AMF) conditionnelle
Plutôt que de les exiger à chaque connexion, réservez les invites AMF pour les signaux anormaux. Si une tentative de connexion provient d’un nouvel appareil, d’un nouveau pays ou après une longue période d’inactivité du compte, c’est le bon moment pour exiger un deuxième facteur. Cela maintient l’efficacité de l’expérience pour la clientèle régulière tout en repérant les scénarios possibles de bourrage d’identifiants.
AMF obligatoire pour les actions de grande valeur
Même si vous n’exigez pas l’AMF lors de la connexion, il est conseillé de l’exiger avant qu’un utilisateur ou une utilisatrice puisse modifier son adresse courriel, ajouter un nouveau mode de paiement ou accéder à des clés API. Cela limite les dégâts si une prise de contrôle se produit.
Comment Stripe Radar peut vous aider
Stripe Radar utilise des modèles d’IA pour détecter et prévenir la fraude, lesquels ont été entraînés à partir des données du réseau mondial de Stripe. Il met continuellement à jour ces modèles en fonction des dernières tendances en matière de fraude, protégeant ainsi votre entreprise au fil de l’évolution des mécanismes de fraude.
Stripe propose également Radar for Fraud Teams, qui permet aux utilisateurs d’ajouter des règles personnalisées pour traiter des scénarios de fraude propres à leur entreprise et d’accéder à des informations avancées sur la fraude.
Radar peut aider votre entreprise à :
Prévenir les pertes dues à la fraude : Stripe traite plus de 1 000 milliards de dollars de paiements chaque année. Ce volume permet à Radar de détecter et de prévenir la fraude avec une précision inégalée, vous aidant ainsi à faire des économies.
Augmenter les revenus : les modèles d’IA de Radar sont entraînés sur des données réelles de contestations, des informations relatives aux clients, des données de navigation, et bien plus encore. Cela permet à Radar de détecter les transactions à risque et de réduire les faux positifs, augmentant ainsi vos revenus.
Gagner du temps : Radar est intégré à Stripe et ne nécessite aucune ligne de code pour être configuré. Vous pouvez également surveiller vos performances en matière de fraude, définir des règles, etc., dans une seule plateforme, augmentant ainsi l’efficacité de vos équipes.
Apprenez-en plus sur Stripe Radar ou faites vos premiers pas dès aujourd’hui.
Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.