Le credential stuffing, ou l’utilisation d’informations de connexion compromises pour prendre le contrôle de comptes, existe depuis aussi longtemps que nous utilisons des mots de passe pour sécuriser nos comptes. Mais, peut-être en partie parce qu’il est devenu plus facile pour les pirates informatiques de mener ce type d’attaque, le credential stuffing a fait la une des journaux ces derniers mois.
Regardez la faille 23andMe qui touche près de 7 millions d’utilisateurs. Même si tous les comptes n’ont pas été compromis par le credential stuffing, c’est de cette façon que les pirates sont entrés dans un premier temps, puis ils ont utilisé une fonctionnalité sociale appelée DNA Relatives pour continuer. Les pirates ont eu accès à des informations sensibles telles que les noms complets et les lieux, ciblant spécifiquement des groupes comme les Ashkénazes, proposant les données à la vente en gros en ligne.
Le piratage évoque une image d’intrusions sophistiquées et de haute technologie, mais ce qui rend le credential stuffing si lucratif, c’est qu’il est étonnamment « assez simple », a déclaré à Engadget Rob Shavell, PDG du service de suppression d’informations personnelles en ligne DeleteMe. Les pirates informatiques utiliseront des suppositions éclairées pour déterminer votre mot de passe, ou achèteront simplement d’anciens mots de passe issus de fuites en ligne pour voir s’ils fonctionnent pour différents comptes. Les tactiques utilisées par les pirates informatiques consistent notamment à utiliser des informations personnelles trouvées en ligne pour deviner des mots de passe ou à demander à un programme d’IA générative de proposer des variantes utilisables d’un mot de passe pour accéder à un compte.
Les entreprises ne parviennent souvent pas à protéger vos données, ce qui vous impose de prévenir au mieux les comptes de credential stuffing. En fait, le credential stuffing est devenu si répandu que vous en avez probablement déjà été victime. Près d’un quart de toutes les tentatives de connexion l’année dernière répondaient aux critères de credential stuffing, selon le rapport 2023 sur l’état de l’identité sécurisée de la société de sécurité Okta, qui a interrogé plus de 800 décideurs informatiques et de sécurité dans tous les domaines. L’analyse des violations de données réalisée par Verizon en 2023 a révélé qu’environ la moitié des violations impliquaient des informations d’identification volées. Vérifier une adresse e-mail sur des sites comme Have I Been Pwned peut vous montrer quels mots de passe peuvent avoir été compromis, ce qui signifie que si vous l’avez réutilisée sur un autre compte, ce n’est peut-être qu’une question de temps avant que les pirates tentent de l’utiliser pour y accéder.
Le credential stuffing fonctionne parce que nous avons tendance à nous en tenir à certains modèles lors de la création de mots de passe, comme l’utilisation du nom de jeune fille de votre mère ou de l’adresse de votre enfance, avec de petites variations pour les rendre plus faciles à mémoriser. « Parce que nous sommes paresseux et que nous avons 50 mots de passe maintenant, nous choisissons par défaut un seul mot de passe et l’utilisons à plusieurs endroits », a déclaré Steve Winterfeld, responsable de la sécurité de l’information chez la société cloud Akamai. « Le problème est que vous ne prenez pas les mesures de risque appropriées. »
Ce niveau de risque varie considérablement. Le compte unique que vous avez utilisé pour essayer World of Warcraft il y a des années et auquel aucune information personnelle ou financière n’est associée ne vous concerne probablement pas. Mais les pirates parient que vous avez réutilisé un e-mail, un nom d’utilisateur et un mot de passe pour un compte plus lucratif, comme votre banque ou un réseau social, et ils utiliseront le credential stuffing pour y accéder. Je vais bien s’ils sont compromis… cela n’aurait pas d’impact financier ou sur ma marque », a déclaré Winterfeld.
En minimisant les risques que vous prenez en ligne en utilisant des mots de passe forts, il sera beaucoup plus facile de commencer à vous protéger contre le credential stuffing. Changer fréquemment les mots de passe ou passer aux mots de passe peut également aider. Il existe également d’autres moyens de vous protéger, car les entreprises ont clairement indiqué qu’elles feraient tout ce qui est en leur pouvoir pour se soustraire à leur responsabilité en matière de protection de vos informations.
Tout d’abord, comprenez qu’une fois qu’un identifiant est divulgué, il peut être utilisé pour accéder à d’autres comptes, a déclaré Frank Teruel, directeur financier de la société de prévention des robots Arkose Labs. Changez donc les mots de passe de tous les comptes sur lesquels vous avez pu le répéter, en particulier les cibles de premier plan liées aux institutions financières ou autres institutions sensibles. C’est là qu’un gestionnaire de mots de passe s’avère utile, car certains signaleront même si un mot de passe a été trouvé lors d’une violation et vous suggéreront de le remplacer par une option plus puissante.
Prendre le temps de purger les comptes que vous n’utilisez plus réduira également considérablement le nombre de fuites de mots de passe dont vous devez vous soucier, a déclaré Teruel. En attendant, prenez l’habitude de ne pas réutiliser les mots de passe ou de petites variations de ceux-ci, et de changer fréquemment les mots de passe pour limiter les risques.