Le credential stuffing, c’est quoi ?

L’une des principales habitudes à proscrire est le recyclage du même mot de passe sur tous les sites Web et les applications que vous utilisez. Si une personne malveillante venait à mettre la main sur ce mot de passe, elle aurait alors accès à l’ensemble de vos comptes. Pourtant, nous le faisons tous. Et par « nous », j’entends tout le monde, que ce soit moi-même, Katy Perry ou même Drake, pour ne citer que quelques exemples. Prenons comme exemple la violation des comptes Zoom qui a eu lieu au printemps dernier. La plateforme elle-même n’a pas été piratée. Ses comptes ont fait l’objet d’une attaque de credential stuffing : les pirates informatiques ont utilisé un lot d’identifiants de connexion précédemment volés afin d’accéder à de nombreux comptes Zoom.

Comment les pirates informatiques font-ils donc pour s’emparer de vos mots de passe ? Et comment ces derniers sont-ils ensuite utilisés dans des attaques de type Credential stuffing ? Nous vous disons tout.

5 techniques de piratage des mots de passe

1. La violation d’une base de données contenant vos identifiants de connexion – Il s’agit de l’une des principales sources d’identifiants volés à ce jour.
2. Les attaques de phishing (ou hameçonnage) et d’ingénierie sociale – Les pirates informatiques ont recours à une technique qui consiste à vous envoyer un e-mail de phishing pour subtiliser les informations de votre compte ou à vous inciter à cliquer sur un lien malveillant pour saisir vos identifiants de connexion sur un faux site.
3. Les enregistreurs de frappe, les injecteurs de publicités et autres logiciels malveillants – Les pirates informatiques peuvent tenter d’amener les utilisateurs à télécharger un programme malveillant pour s’emparer de leurs identifiants de connexion, de leurs informations de paiement et d’autres artefacts tels que leurs informations personnelles.
4. Les attaques de mot de passe – Cette technique, comme l’attaque par force brute, utilise des logiciels automatisés conçus pour pirater ou deviner votre mot de passe. 
5. La surveillance du réseau Wi-Fi – Si vous n’êtes pas protégé(e) par un logiciel de VPN par exemple, vous devez éviter à tout prix de vous connecter à vos comptes via un réseau Wi-Fi public ou non sécurisé. Les pirates peuvent en effet utiliser les outils de surveillance réseau disponibles pour intercepter vos identifiants et autres données.

Cessez de réutiliser vos mots de passe faibles et téléchargez gratuitement Dashlane dès aujourd’hui.

Pensez à vos comptes professionnels ! Protégez vos mots de passe personnels et professionnels avec Dashlane. Optez pour un essai gratuit de 30 jours.

Comment les attaques de credential stuffing sont utilisées pour exploiter vos mots de passe réutilisés

Les attaques de credential stuffing consistent à choisir un site cible et à analyser la séquence et les processus de connexion associés. Ensuite, les pirates peuvent soit créer un script automatisé, soit utiliser un logiciel de credential stuffing configurable afin de tester systématiquement si les identifiants volés permettent la connexion au site cible. Pour masquer leur activité, les pirates louent des botnets (réseaux d’ordinateurs infectés par un logiciel malveillant et contrôlés à distance) ou une liste d’adresses IP de proxy pour donner l’impression que les tentatives de connexion proviennent d’utilisateurs réels sur différents ordinateurs. Les pirates finissent ainsi par accéder à certains sites à l’aide des identifiants utilisés, afin de s’emparer de ces comptes et de voler les informations associées.

Aussi compliqué que cela puisse paraître, les pirates informatiques peuvent lancer une attaque en quelques heures seulement.

Quel est le meilleur moyen de protéger vos comptes contre les auteurs d’attaques de credential stuffing ?

Pour protéger vos comptes et vos données contre les attaques de credential stuffing, cessez immédiatement d’utiliser le même mot de passe sur plusieurs comptes. Il est impératif que tous vos comptes, et notamment ceux utilisés pour vos achats, finances, voyages et démarches administratives, soient protégés par des mots de passe forts et uniques. Un mot de passe fort comporte au minimum 8 caractères et mélange lettres majuscules et minuscules, chiffres et caractères spéciaux. Voici quelques conseils supplémentaires pour éviter de réutiliser vos mots de passe :

• Optez pour un gestionnaire de mots de passe – Si créer et gérer des mots de passe longs et complexes n’est pas votre tasse de thé, adoptez un gestionnaire de mots de passe comme Dashlane. En plus de disposer d’un générateur de mots de passe intégré qui vous permettra de créer des mots de passe forts pour vos nouveaux comptes, vous recevrez des alertes de sécurité vous invitant à changer immédiatement votre mot de passe en cas de faille.
• Activez la double authentification – Activez la double authentification (2FA) sur tous vos comptes en ligne, en particulier sur les applications et les sites Web les plus ciblés tels que les banques et les réseaux sociaux.