L’une des principales habitudes à proscrire est le recyclage du même mot de passe sur tous les sites Web et les applications que vous utilisez. Si une personne malveillante venait à mettre la main sur ce mot de passe, elle aurait alors accès à l’ensemble de vos comptes. Pourtant, nous le faisons tous. Et par « nous », j’entends tout le monde, que ce soit moi-même, Katy Perry ou même Drake, pour ne citer que quelques exemples. Prenons comme exemple la violation des comptes Zoom qui a eu lieu au printemps dernier. La plateforme elle-même n’a pas été piratée. Ses comptes ont fait l’objet d’une attaque de credential stuffing : les pirates informatiques ont utilisé un lot d’identifiants de connexion précédemment volés afin d’accéder à de nombreux comptes Zoom.
Comment les pirates informatiques font-ils donc pour s’emparer de vos mots de passe ? Et comment ces derniers sont-ils ensuite utilisés dans des attaques de type Credential stuffing ? Nous vous disons tout.
Cessez de réutiliser vos mots de passe faibles et téléchargez gratuitement Dashlane dès aujourd’hui.
Pensez à vos comptes professionnels ! Protégez vos mots de passe personnels et professionnels avec Dashlane. Optez pour un essai gratuit de 30 jours.
Les attaques de credential stuffing consistent à choisir un site cible et à analyser la séquence et les processus de connexion associés. Ensuite, les pirates peuvent soit créer un script automatisé, soit utiliser un logiciel de credential stuffing configurable afin de tester systématiquement si les identifiants volés permettent la connexion au site cible. Pour masquer leur activité, les pirates louent des botnets (réseaux d’ordinateurs infectés par un logiciel malveillant et contrôlés à distance) ou une liste d’adresses IP de proxy pour donner l’impression que les tentatives de connexion proviennent d’utilisateurs réels sur différents ordinateurs. Les pirates finissent ainsi par accéder à certains sites à l’aide des identifiants utilisés, afin de s’emparer de ces comptes et de voler les informations associées.
Aussi compliqué que cela puisse paraître, les pirates informatiques peuvent lancer une attaque en quelques heures seulement.
Pour protéger vos comptes et vos données contre les attaques de credential stuffing, cessez immédiatement d’utiliser le même mot de passe sur plusieurs comptes. Il est impératif que tous vos comptes, et notamment ceux utilisés pour vos achats, finances, voyages et démarches administratives, soient protégés par des mots de passe forts et uniques. Un mot de passe fort comporte au minimum 8 caractères et mélange lettres majuscules et minuscules, chiffres et caractères spéciaux. Voici quelques conseils supplémentaires pour éviter de réutiliser vos mots de passe :