Le paysage de la cybersécurité évolue constamment, avec de nouvelles menaces qui apparaissent régulièrement. L’une des techniques d’attaque les plus répandues et dangereuses est celle du Credential stuffing, également connu sous le nom de bourrage d’identifiants. La Commission nationale de l’informatique et des libertés (CNIL) a récemment mis en garde contre cette forme de cyberattaque.
Qu’est-ce que le Credential Stuffing ?
Le Credential stuffing est une méthode d’attaque informatique qui consiste à utiliser des identifiants et mots de passe volés lors de précédentes attaques pour tenter d’accéder à un grand nombre de comptes sur différents sites web. Les cybercriminels automatisent ce processus en utilisant des logiciels malveillants ou des scripts pour tester rapidement et efficacement ces informations d’identification sur divers services en ligne.
Dans la majorité des cas, les victimes de cette cybermenace ne sont même pas conscientes qu’elles ont été compromises jusqu’à ce qu’il soit trop tard – lorsque leurs données personnelles ont déjà été volées ou que leur compte bancaire a été vidé. Il convient de souligner que cette technique est particulièrement lucrative pour les cybercriminels puisqu’elle leur permet d’exploiter la tendance des internautes à utiliser les mêmes identifiants et mots de passe sur plusieurs plateformes pour simplifier leur gestion.
Mesures de prévention recommandées par la CNIL
Face à cette menace grandissante, la CNIL s’est prononcée sur les bonnes pratiques à adopter pour lutter contre le Credential stuffing. Voici quelques mesures de protection recommandées par la CNIL :
-
- Utiliser des mots de passe complexes et différents pour chaque compte : cela permet de limiter l’impact d’une éventuelle compromission.
- Activer l’authentification à deux facteurs (2FA) : cette mesure rajoute une couche de sécurité supplémentaire en exigeant une confirmation via un autre moyen (comme un code reçu par SMS ou une notification d’application) avant d’accorder l’accès au compte.
- Vérifier régulièrement les comptes associés aux emails personnelles et professionnels : il est conseillé de surveiller les accès suspects et de vérifier la validité des informations d’identification stockées dans vos paramètres de connexion.
- Surveiller l’apparition de ses données sur internet : en utilisant des outils tels que haveibeenpwned.com, les internautes peuvent être informés lorsque leurs identifiants apparaissent dans des bases de données compromises.
- Signaler les incidents de sécurité : en cas de suspicion d’attaque par Credential stuffing, il est important de le signaler aux autorités compétentes telles que la CNIL et le CERT-FR.
}
Rôle des responsables de traitement et sous-traitants
Au-delà des mesures de protection à mettre en place par les individus, la CNIL insiste également sur le rôle des responsables de traitement et sous-traitants dans la lutte contre le Credential stuffing. Ces derniers ont un devoir d’information auprès de leurs utilisateurs et doivent mettre en œuvre toutes les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données qu’ils traitent.
Parmi ces mesures, on peut citer :
- La sensibilisation et la formation des collaborateurs : il est essentiel que les employés soient informés des risques liés au Credential stuffing et sachent adopter les bonnes pratiques en matière de cybersécurité.
- L’adoption de protocoles de chiffrement des données : cela permet de garantir l’intégrité et la confidentialité des informations stockées sur les comptes utilisateurs.
- La mise en œuvre d’un système de veille technologique : cela aide à anticiper les nouvelles menaces et à adapter en conséquence les mesures de prévention.
- Le déploiement de solutions de détection et de réponse aux incidents (EDR) : ces outils monitoring fournissent une surveillance continue des systèmes informatiques et peuvent ainsi identifier et contrer rapidement les tentatives d’attaques.
Des affaires médiatisées révélant l’ampleur du phénomène
En France comme à l’international, plusieurs cas médiatiques ont permis de prendre conscience de l’ampleur et de la gravité du phénomène de Credential stuffing. Parmi ceux-ci, on peut citer :
L’attaque contre le site vente-privée.com
En 2017, le célèbre site de ventes privées a été la cible d’une attaque par Credential stuffing qui a mené à la compromission des données personnelles de plus de 3000 utilisateurs. Les cybercriminels ont exploité ces informations pour tenter de réaliser des achats frauduleux auprès du site.
La fuite de données chez LinkedIn
Célèbre réseau social professionnel, LinkedIn a subi en 2016 une importante fuite de données exposant les identifiants et mots de passe de millions d’utilisateurs. Vraisemblablement issues d’une précédente intrusion survenue en 2012, ces données compromises ont été utilisées dans plusieurs attaques par Credential stuffing visant des services tiers.
L’affaire Yahoo
Un autre exemple marquant est l’affaire Yahoo : la société américaine a reconnu avoir été victime d’une série d’attaques ayant conduit au vol des noms d’utilisateur, mots de passe et autres informations personnelles d’environ trois milliards de comptes affectés entre 2012 et 2014. Cette cyberattaque massive a également été perçue comme un catalyseur des attaques par Credential stuffing.
Au vu de ces exemples, il est clair que le Credential stuffing représente une menace sérieuse qui doit être prise en compte tant par les particuliers que par les professionnels afin d’éviter les conséquences dévastatrices qu’elle peut engendrer. La CNIL met en garde à juste titre contre cette cybermenace, mais il appartient également aux acteurs clés du numérique de rester vigilants et de mettre en œuvre les mesures nécessaires pour l’éradiquer.