Les répercussions de la compromission des identifiants
Lorsque les utilisateurs amplifient les risques pour l'entreprise
Le risque que représentent les informations d'identification divulguées
Selon une étude, 44 % des personnes interrogées déclarent utiliser les mêmes identifiants de connexion pour leurs comptes personnels et professionnels.
Les entreprises qui protègent leurs systèmes et leurs données avec de simples combinaisons de nom d'utilisateur et de mot de passe facilitent (voire accélèrent) la tâche des pirates cherchant à les infiltrer. De même, les utilisateurs qui ne respectent pas les règles d'hygiène (utilisation de mots du dictionnaire en guise de mots de passe, absence de modification des mots de passe compromis, etc.) peuvent être plus vulnérables à des attaques.
L'une des méthodes les plus fréquemment utilisées pour infiltrer les systèmes et les comptes protégés est la technique dite du bourrage d'identifiants (« Credential Stuffing »). Ces attaques inondent les points de connexion des entreprises d'informations d'identification compromises (c'est-à-dire de noms d'utilisateur et de mots de passe exposés lors de violations de données survenues dans d'autres organisations), puis exécutent d'autres activités malveillantes une fois que l'accès a été obtenu.
Souvent, les listes d'informations d'identification volées sont achetées et revendues sur le dark web, et peuvent être utilisées pour tenter d'infiltrer un certain nombre d'entreprises. Bien que le taux de réussite des violations utilisant ces données volées soit faible, son relatif succès repose sur le fait que les acteurs malveillants ont accès à un nombre élevé d'informations d'identification, et que les utilisateurs ont tendance à réutiliser leurs informations d'identification sur une multitude de comptes, voire à ne pas les modifier immédiatement à la suite d'une violation avérée.
Pour mettre cette information en perspective, lors d'attaques par force brute de grande ampleur, Cloudflare a observé la transmission de plus de 112 000 requêtes HTTP par minute contenant des informations d'identification compromises. Une fraction seulement de ces tentatives pourrait permettre à un acteur malveillant d'infliger de graves dommages à une entreprise, pour peu qu'il parvienne à infiltrer ses systèmes.
En raison du volume et de la fréquence des tentatives d'attaques par bourrage d'identifiants, la défense contre ces attaques nécessite une stratégie de sécurité proactive et multicouche, capable de bloquer les tentatives de connexion frauduleuses, d'appliquer des exigences d'authentification strictes et de minimiser les mouvements latéraux en cas d'infiltration.
Pourquoi la technique du bourrage d'identifiants fonctionne encore
Lorsqu'une attaque par bourrage d'identifiants réussit, le compte est usurpé, permettant aux acteurs malveillants de prendre le contrôle total du compte d'un utilisateur et de dérober des données confidentielles, de compromettre des systèmes internes ou de lancer des attaques de plus grande ampleur.
Prenons l'exemple de DraftKings, une société de paris sportifs qui a subi une importante attaque par bourrage d'identifiants, durant laquelle des identifiants volés ont été utilisés pour accéder à ses systèmes, entraînant la compromission des données personnelles de plus de 67 000 utilisateurs.
Parmi ces données figuraient des adresses physiques et électroniques, des numéros de téléphone, des informations concernant le solde des comptes, des informations partielles de cartes de paiement et d'autres informations sensibles ; l'ampleur de la violation est toutefois restée inconnue. Cette attaque a permis aux acteurs malveillants de retirer quelque 300 000 dollars de plusieurs comptes d'utilisateurs.
À la suite d'attaques telles que celle-ci, certains utilisateurs peuvent s'empresser de modifier les mots de passe des comptes compromis. Beaucoup d'autres, en revanche, continuent à réutiliser leurs mots de passe sur une multitude de systèmes ; ils choisissent de conserver le même mot de passe après une violation, ou le remplacent par un mot de passe moins sûr. Selon une étude réalisée par Carnegie Mellon University, seule une personne sur trois possédant un compte sur un domaine connu pour avoir été victime d'une violation de données a modifié son mot de passe par la suite.
Et en raison du nombre élevé d'incidents connus de compromission de données (plus de 700 millions d'identifiants ont été volés en 2022 seulement), l'obtention d'identifiants d'utilisateurs volés est souvent relativement aisée pour les acteurs malveillants dès lors qu'ils disposent des ressources nécessaires pour les acheter.
Lorsque les acteurs malveillants se sont emparés des informations d'identification d'un compte d'utilisateur légitime, ils peuvent utiliser cette combinaison pour cibler plusieurs entreprises. Par exemple, si les informations d'identification professionnelles d'un employé sont exposées lors d'une violation de données, puis vendues sur le dark web, les acteurs malveillants peuvent utiliser ces informations d'identification pour cibler des applications bancaires populaires ou d'autres cibles de grande valeur ; cela peut entraîner des pertes supplémentaires si la victime utilise le même mot de passe pour accéder à plusieurs plateformes.
La charge de l'accès sécurisé
Lorsqu'il s'agit de se protéger contre les attaques par bourrage d'identifiants et la prise de contrôle de comptes, la charge de l'accès sécurisé repose à la fois sur les utilisateurs individuels et les entreprises. L'application d'une bonne hygiène en matière de mots de passe est importante, mais elle ne suffit pas à se défendre contre les attaques si d'autres mesures de sécurité ne sont pas mises en place.
Par exemple, les entreprises qui se fient à l'authentification à facteur unique (par exemple, en ne demandant qu'un nom d'utilisateur et un mot de passe) peuvent involontairement exposer leurs utilisateurs à un risque accru d'usurpation de comptes, puisque les acteurs malveillants n'ont besoin d'utiliser qu'une seule forme d'attaque pour pénétrer des comptes et des systèmes protégés.
À l'inverse, les organisations qui appliquent l'authentification multifacteur (en exigeant, par exemple, une combinaison de nom d'utilisateur et de mot de passe ainsi qu'un jeton physique unique), qui demandent aux utilisateurs de régulièrement mettre à jour leurs mots de passe et qui mettent en œuvre des mesures de sécurité Zero Trust sont beaucoup plus susceptibles de résister aux tentatives d'attaque par bourrage d'identifiants (Credential Stuffing).
Mettre en œuvre des mesures défensives
Plusieurs facteurs peuvent compliquer les efforts d'une organisation pour empêcher les attaques par bourrage d'identifiants. Puisque ces attaques s'appuient sur des données dérobées à d'autres entreprises ou achetées sur le dark web, les entreprises peuvent ne pas avoir conscience que leurs utilisateurs réutilisent des informations d'identification compromises. En outre, les acteurs malveillants automatisent souvent leurs tentatives au moyen d'un logiciel de bourrage d'identifiants, qui déploie des bots malveillants pour inonder de requêtes les points de terminaison de connexion.
Malgré cela, il existe plusieurs stratégies que les organisations peuvent adopter afin de protéger leurs utilisateurs et leurs données, notamment les suivantes :
MFA nécessaire
La meilleure protection contre les attaques par bourrage d'identifiants est une défense proactive. En exigeant des utilisateurs qu'ils fournissent plusieurs formes d'identification pour accéder aux systèmes et données protégés, les entreprises peuvent minimiser les chances de réussite d'une tentative de violation de données – même en présence d'utilisateurs susceptibles de réutiliser des informations d'identification divulguées. Pour renforcer encore leur sécurité, elles peuvent également exiger la réinitialisation des mots de passe à intervalles réguliers et spécifier le nombre et le type des caractères que doivent contenir les mots de passe des utilisateurs.
Bloquer les requêtes utilisant des informations d'identification divulguées
Bien que les outils de bourrage d'identifiants puissent parvenir à déguiser les tentatives de connexion en tentatives légitimes, les entreprises peuvent configurer des ensembles de règles de pare-feu d'applications web (WAF) pour vérifier ces requêtes par rapport à des bases de données d'informations d'identification dérobées, accessibles au public. En cas de correspondance, l'utilisateur peut devoir répondre à un défi interactif ou la requête peut être automatiquement rejetée.
Adopter la sécurité Zero Trust
L'approche Zero Trust, un modèle de sécurité moderne, qui repose sur le principe selon lequel les menaces sont présentes à l'intérieur et à l'extérieur du réseau d'une entreprise, vérifie continuellement chaque utilisateur, chaque appareil et chaque requête. La sécurité Zero Trust va au-delà de l'authentification multifacteur en appliquant une politique d'accès fondé sur le moindre privilège (c'est-à-dire en minimisant l'exposition des utilisateurs aux données sensibles), en validant l'identité et les autorisations des appareils et en vérifiant à plusieurs reprises l'identité des utilisateurs. Ensemble, ces pratiques contribuent à prévenir les intrusions, à réduire les possibilités de mouvements latéraux et à atténuer l'impact d'une intrusion réussie.
Prévenir les attaques par bourrage d'identifiants
Développée sur un puissant réseau mondial, couvrant 320 villes dans plus de 120 pays, Cloudflare dispose d'une vision inégalée des modèles d'attaques actuels et émergents. La solution aide ainsi à mieux protéger les clients contre une vaste sélection d'attaques automatisées et ciblées.
Cloudflare Zero Trust aide les entreprises à mettre en œuvre des exigences d'accès strictes pour défendre leurs points de terminaison d'authentification contre les requêtes non autorisées. En outre, les entreprises peuvent réduire leur vulnérabilité aux attaques par bourrage d'identifiants en utilisant Cloudflare pour limiter le débit des tentatives de connexion infructueuses, identifier et bloquer les comportements de bots malveillants et filtrer les tentatives d'accès provenant de sources potentiellement malveillantes au moyen de règles de pare-feu personnalisées.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Téléchargez le livre blanc L’état de la sécurité des applications pour découvrir comment Cloudflare aide les entreprises à se défendre contre les attaques par bourrage d'identifiants et d'autres menaces émergentes.
Points clés
Cet article vous permettra de comprendre les points suivants :
Comment les attaques par bourrage d'identifiants (credential stuffing) peuvent entraîner la prise de contrôle de comptes
Pourquoi l'authentification multifacteur ne suffit pas à arrêter les attaques par bourrage d'identifiants
Stratégies pour sécuriser votre organisation contre les attaques volumétriques