Les attaques par credential stuffing utilisent des processus automatisés pour tester des listes de paires de noms d’utilisateur et de mots de passe volés, et obtenir un accès non autorisé à des sites web et à des applications. Ces attaques peuvent causer des millions de dollars de dégâts. La tactique réussit en partie parce que, même si les utilisateurs peuvent être invités à créer un mot de passe plus complexe, les politiques de complexité des mots de passe n’ont aucun moyen de prendre en compte les personnes qui utilisent les mêmes identifiants sur différents sites web ou services.
Ci-dessous, nous examinerons de plus près ce qu’est le credential stuffing, en quoi il diffère de la force brute et du password spraying, les types de fraude qui peuvent suivre un piratage et comment arrêter le credential stuffing en mettant en place une défense à plusieurs niveaux.
Points clés
Le credential stuffing exploite la réutilisation de mots de passe sur plusieurs comptes. Les politiques de mots de passe forts sont inefficaces en tant que défense unique contre ce type d’attaque.
Les plateformes de type software as a service (SaaS) et d’intelligence artificielle (IA) sont exposées au risque d’attaques par credential stuffing, notamment les piratages de compte, les abus d’interface de programmation d’application (API) et l’exploitation des essais gratuits.
Une défense efficace nécessite de superposer la détection de bots, l’examen des identifiants compromis et les signaux partagés sur les endpoints de connexion, d’inscription et d’API.
Qu’est-ce que le credential stuffing ?
Le credential stuffing est une cyberattaque dans laquelle des criminels prennent des paires de noms d’utilisateur et de mots de passe divulguées lors de violations de données antérieures et les testent automatiquement sur d’autres services. Cela fonctionne car la réutilisation des mots de passe est une pratique courante. Des études montrent systématiquement que de nombreuses personnes utilisent les mêmes identifiants pour plusieurs comptes, 72 % de la génération Z déclarant réutiliser leurs mots de passe.
Comment fonctionne le credential stuffing ?
Les auteurs d’attaques par credential stuffing se procurent des listes d’identifiants, parfois appelées « combo lists », dans des bases de données de violations sur des forums criminels et des marchés du darknet. Certaines de ces listes contiennent des centaines de millions de paires de noms d’utilisateur et de mots de passe vérifiées. Ils chargent ces listes dans des logiciels qui peuvent envoyer des millions de requêtes de connexion, gérer les tests de Turing public entièrement automatisé pour distinguer les ordinateurs et les humains (CAPTCHA), effectuer une rotation des adresses de protocole Internet (IP) par proxy et analyser les réponses de réussite ou d’échec.
Pour éviter les simples règles de limites d’appels, les attaquants envoient ces requêtes de connexion à partir de milliers d’adresses différentes, souvent des proxys résidentiels qui ressemblent au trafic d’utilisateurs légitimes. Lorsqu’une connexion réussit, l’outil la signale. L’attaquant dispose désormais d’un compte vérifié et fonctionnel et peut extraire des moyens de paiement sauvegardés, des données personnelles, des accès à l’API ou des crédits de compte.
En quoi le credential stuffing diffère-t-il des attaques par force brute et par password spraying ?
Le credential stuffing, les attaques par force brute et la password spraying sont liés, mais structurellement distincts. La bonne contre-mesure pour l’un n’arrêtera pas nécessairement les autres.
Voici un récapitulatif :
Force brute : une attaque par force brute essaie systématiquement toutes les combinaisons de mots de passe possibles pour un compte spécifique. Elle est coûteuse en termes de calcul, lente et très peu pratique contre les endpoints de connexion web dotés de politiques de verrouillage de compte.
Password spraying : une attaque par password spraying essaie un ou plusieurs mots de passe courants (par exemple, Password1!, Welcome2024) sur un grand nombre de comptes. Elle est conçue pour rester en dessous des seuils de verrouillage par compte tout en exploitant les choix de mots de passe faibles. Les politiques de mot de passe peuvent empêcher les utilisateurs d’utiliser ces mots de passe courants et constituent une contre-mesure utile.
Credential stuffing : parfois considérées comme une sous-catégorie des attaques par force brute, les attaques par credential stuffing testent des paires de noms d’utilisateur et de mots de passe légitimes sur des pages de connexion non confirmées et prennent le contrôle de tous les comptes auxquels elles accèdent. Les politiques de mots de passe standard ne sont pas d’un grand secours contre le credential stuffing, car elles ne peuvent pas empêcher les clients de réutiliser leurs mots de passe sur différents comptes.
Quels sont les signes précurseurs d’une attaque par credential stuffing ?
Les attaques par credential stuffing apparaissent rarement sous la forme d’un pic spectaculaire. Elles sont plus souvent visibles sous la forme d’une lente accumulation de signaux.
Soyez attentif aux points suivants :
Taux d’échec de connexion élevés sur l’ensemble des comptes : une attaque par force brute présente de nombreux échecs sur un seul compte. Le credential stuffing affiche un taux d’échec modéré réparti simultanément sur des milliers de comptes. Si votre taux d’échec de connexion de base est de 2 % à 5 % et qu’il passe soudainement à 15 % à 20 % sur l’ensemble des comptes, ce changement justifie une enquête immédiate.
Afflux soudain de nouvelles adresses IP : les réseaux de proxys résidentiels génèrent des requêtes à partir d’adresses qui semblent normales sur les listes de réputation. Mais une augmentation d’adresses IP qui inconnues sur votre plateforme est un signal important lorsqu’il est mis en parallèle avec l’activité de connexion.
Distributions géographiques inhabituelles : les connexions regroupées dans des régions qui ne correspondent pas aux modèles d’accès historiques d’un compte peuvent indiquer un accès automatisé.
Chaînes utilisateur-agent constantes sur de nombreuses requêtes : les populations d’utilisateurs légitimes présentent d’énormes variations dans les empreintes d’identification de navigateur. Dans les attaques par credential stuffing, la même chaîne utilisateur-agent se répète souvent sur des milliers de requêtes, ce qui est un signal à ne pas ignorer.
Ratio tentatives/réussite élevé : les utilisateurs normaux échouent une ou deux fois, puis réussissent ou réinitialisent leur mot de passe. Les outils de credential stuffing réussissent rarement, mais génèrent de nombreuses tentatives par session.
Pics de volume inexpliqués sur l’endpoint de connexion : même avec la rotation des adresses IP, l’endpoint lui-même voit un plus grand total de requêtes pendant les attaques par credential stuffing. Une augmentation massive sans événement marketing ou lancement de produit correspondant est un signal d’alarme.
Pourquoi le credential stuffing est-il dangereux pour les plateformes SaaS et d’IA ?
Les auteurs d’attaques par credential stuffing vérifient les identifiants valides pour se constituer un portefeuille d’accès. Une fois à l’intérieur, ils peuvent causer encore plus de dégâts.
Si vous gérez une plateforme SaaS ou d’IA, voici ce qu’il faut savoir :
Piratage de compte et vol de données : une fois infiltrés dans un compte client, les attaquants peuvent extraire des données personnelles, des informations de paiement, des fichiers privés ou des communications. Si votre plateforme traite des données d’entreprise sensibles, un seul compte compromis peut entraîner une exposition au-delà de la cible initiale de l’attaquant.
Monétisation immédiate du compte : les attaquants peuvent tirer profit d’un compte compromis immédiatement. Le compte peut être vidé de ses crédits ou utilisé pour des achats frauduleux, ou les identifiants peuvent être revendus sur des forums criminels.
Fraude via les moyens de paiement sauvegardés : les comptes avec des moyens de paiement sauvegardés sont des cibles de grande valeur. Les attaquants peuvent initier des achats, transférer des crédits ou rediriger des virements, ce qui crée un risque financier direct pour la plateforme et ses utilisateurs.
Fraude au nouveau compte : après avoir confirmé que votre plateforme représente une source de valeur accessible, les attaquants commencent souvent à créer d’autres comptes frauduleux. Les essais gratuits, les bonus d’inscription et l’accès à l’API liés aux nouveaux comptes représentent tous des cibles.
Abus d’essais gratuits et exploitation des essais gratuits : le credential stuffing peut se transformer en d’autres types de fraude. Les attaquants peuvent faire utiliser l’accès aux essais gratuits sur de nombreux comptes pour éviter les limites d’utilisation. Il s’agit d’un problème financier matériel pour les plateformes d’IA, car l’octroi d’appels d’API et de crédits d’inférence coûte directement à la plateforme.
Abus d’API : sur les plateformes d’IA, les comptes sont généralement assortis d’un accès à l’API et de quotas d’utilisation. Les attaquants qui prennent le contrôle des comptes peuvent épuiser ces quotas, revendre l’accès ou utiliser les ressources informatiques à leurs propres fins. Tout cela crée des coûts d’infrastructure pour la plateforme.
Charge pour le service de support : les clients dont les comptes ont été compromis ont besoin d’un service de support important. Les réinitialisations de mot de passe, les litiges pour fraude et les processus de récupération de compte consomment du temps, de l’argent et d’autres ressources.
Atteinte à la réputation : les utilisateurs dont les comptes sont compromis sur votre plateforme peuvent blâmer cette dernière, quel que soit l’origine de la fuite de leurs identifiants.
Comment les plateformes peuvent-elles lutter contre les attaques par credential stuffing sans nuire à l’expérience de connexion ?
La prévention des attaques par credential stuffing repose sur la superposition de plusieurs défenses de manière à ce que chacune augmente le coût d’une attaque. Voici quelques-unes de vos options.
Limite d’appels nuancée
Si vous mettez en place une limite d’appels globale par adresse IP, les attaquants peuvent la contourner à l’aide de plusieurs proxys. Des approches plus efficaces peuvent limiter le nombre d’appels par compte (par exemple, combien de tentatives infructueuses ce compte spécifique a-t-il eues au cours des 10 dernières minutes ?), par empreinte d’identification de l’appareil ou par modèle comportemental. Une combinaison de toutes ces solutions est d’autant plus préférable.
Détection de bots et analyse du trafic
Déployez une solution de gestion de bots qui analyse les signaux comportementaux (par exemple, les modèles de mouvement de la souris, le temps de frappe, la cadence des requêtes, les réponses aux défis JavaScript). Des outils tels que Cloudflare Bot Management ou Akamai Bot Manager évaluent le trafic avant même qu’il n’atteigne votre logique d’authentification.
Contrôle des identifiants compromis
Le modèle k-anonymity permet aux utilisateurs de vérifier si leur mot de passe a été compromis sans partager le mot de passe complet. Des services tels que l’outil Pwned Passwords de Have I Been Pwned l’utilisent pour vérifier si le mot de passe d’un utilisateur est apparu dans des ensembles de violations de données connus.
Authentification multifacteur (MFA) conditionnelle
Plutôt que de les exiger à chaque connexion, réservez les invites de MFA aux signaux anormaux. Si une tentative de connexion provient d’un nouvel appareil, d’un nouveau pays ou après une longue période d’inactivité du compte, c’est le bon moment pour exiger ce type d’authentification. Cela permet de maintenir une expérience efficace pour les utilisateurs réguliers tout en détectant d’éventuels scénarios de credential stuffing.
MFA obligatoire pour les actions à forte valeur
Même si vous n’exigez pas de MFA à la connexion, il est conseillé de l’exiger avant qu’un utilisateur ne puisse modifier son adresse email, ajouter un nouveau moyen de paiement ou accéder à ses clés d’API. Cela limite les dégâts en cas de piratage.
Comment Stripe Radar peut vous aider ?
Stripe Radar s’appuie sur des modèles d’IA entraînés à partir des données issues du réseau mondial de Stripe pour détecter et prévenir la fraude. Ces modèles sont continuellement mis à jour pour tenir compte des nouvelles tendances, ce qui permet de protéger votre entreprise face à l’évolution des risques.
Stripe propose également Radar for Fraud Teams, qui permet aux utilisateurs d’ajouter des règles personnalisées adaptées à des scénarios spécifiques et d’accéder à des analyses avancées sur la fraude.
Radar peut aider votre entreprise à :
Réduire les pertes liées à la fraude : Stripe traite plus de 1 000 milliards de dollars américains de paiements chaque année. Cette échelle unique permet à Radar d’identifier et de bloquer les tentatives de fraude avec précision, pour limiter les pertes financières.
Booster le chiffre d’affaires : les modèles d’IA de Radar sont entraînés à partir de données réelles de litiges, d’informations clients et de données de navigation. Ils permettent d’identifier les transactions à risque tout en réduisant les faux positifs, ce qui favorise l’augmentation des revenus.
Gagner du temps : Radar est intégré à Stripe et ne nécessite aucune ligne de code pour être configuré. Vous pouvez suivre vos performances en matière de fraude, définir des règles et accéder aux analyses depuis une plateforme unique, pour plus d’efficacité.
En savoir plus sur Stripe Radar, ou démarrer dès aujourd’hui.
Le contenu de cet article est fourni à des fins informatives et pédagogiques uniquement. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de solliciter l'avis d'un avocat compétent ou d'un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation.