9 meilleures façons de protéger votre entreprise contre le credential stuffing

Saviez-vous qu'en 2019, les noms d'utilisateur et mots de passe d'environ 4 millions d'utilisateurs de Canva ont été volés, déchiffrés et partagés en ligne ?

Il s'agissait d'une attaque par credential stuffing.

Confus?

Avant d'aller de l'avant, comprenons ce que signifie ce terme.

Qu'est-ce qu'une attaque par credential stuffing ?

Une attaque par credential stuffing est une méthode de cyberattaque dans laquelle les cybercriminels prennent le contrôle de bases de données massives contenant les informations d'identification des utilisateurs pour violer un système. Ces criminels utilisent un système automatisé pour accéder aux noms d'utilisateur et aux paires de mots de passe précédemment violés dans le champ de connexion au site Web.

Ils essaient d'accéder au compte d'utilisateur sur différentes plates-formes en trouvant la bonne paire de noms d'utilisateur et de mots de passe.

La source

Ces cybercriminels détournent des comptes auxquels ils peuvent se connecter.

Cette technique devient de plus en plus populaire car les pirates novices disposent d'outils facilement disponibles pour se connecter à des centaines de services et de sites Web en ligne.

Selon les recherches, les entreprises subissent en moyenne 12,7 attaques de credential stuffing chaque mois, ce qui entraîne une perte de 6 millions de dollars.

Avec tant de choses sur la table, les entreprises doivent protéger leur entreprise contre les attaques de credential stuffing.

9 meilleures façons de protéger votre entreprise contre le credential stuffing

Utilisez ces méthodes pour protéger votre entreprise contre les délits potentiels de credential stuffing :

1. Utiliser l'authentification multifacteur lors de la connexion

Pour empêcher les cybercrimes de se produire, utilisez l'authentification multifacteur (MFA) pour permettre aux clients d'accéder à vos plateformes en ligne. L'objectif principal de l'utilisation de MFA est de réduire le risque de prise de contrôle de compte et de sécuriser les comptes des clients.

En plus de demander le nom d'utilisateur et le mot de passe, MFA demande aux clients de remplir un facteur de vérification supplémentaire, ce qui réduit considérablement la probabilité d'une attaque en ligne réussie.

La source

La plupart des entreprises préfèrent utiliser des mots de passe à usage unique ou OTP, qui sont des codes de 4 à 8 chiffres que vous recevez sur votre mobile ou par e-mail.

Statistiques intéressantes : 61 % des clients utilisent le même mot de passe sur plusieurs services, ce qui fait du MFA un incontournable pour empêcher le compte de votre client d'être piraté.

2. Évitez d'utiliser des adresses e-mail comme noms d'utilisateur

Comme la base des attaques d'informations d'identification est que les personnes réutilisent le même nom d'utilisateur et le même mot de passe, le travail d'un cybercriminel est beaucoup plus facile lorsque vos clients utilisent leur adresse e-mail comme nom d'utilisateur.

Demandez aux utilisateurs d'avoir des adresses e-mail et des noms d'utilisateur différents, car cela réduit la probabilité que les clients utilisent la même combinaison de noms d'utilisateur et de mots de passe sur plusieurs sites Web.

3. Concentrez-vous sur l'alerte de seuil pour détecter les tentatives de connexion infructueuses

Il s'agit d'une technique très efficace pour stopper les cyberattaques de credential stuffing. Lorsqu'un système détecte un nombre « x » de tentatives de connexion infructueuses, il envoie un message automatisé à l'utilisateur concernant les tentatives infructueuses et exécute un script personnalisé pour les arrêter.

Ces scripts désactivent temporairement la fonctionnalité de connexion ou même arrêtent le serveur, empêchant le cybercriminel d'obtenir un accès non sollicité au compte d'un utilisateur.

Statistiques intéressantes : En 2020, 3,4 milliards d'attaques de credential stuffing ont touché des banques et d'autres services financiers.

4. Avoir un mot de passe fort et une politique d'authentification

L'une des méthodes de prévention les plus simples et les plus largement utilisées est d'avoir une politique de mot de passe et d'authentification forte. Encouragez les clients et les employés à utiliser des gestionnaires de mots de passe pour générer des mots de passe uniques et forts.

La source

Apprenez à vos employés et clients les avantages d'avoir des mots de passe différents pour différents comptes.

Définissez également une limite stricte au nombre de demandes de connexion ayant échoué.

Par exemple, les banques n'autorisent que 3 à 5 tentatives avant de geler temporairement le compte client.

Les clients doivent se rendre dans une banque ou parler à un associé du service client pour débloquer leurs comptes.

De plus, encouragez vos employés et clients à réinitialiser régulièrement leur mot de passe.

Fait intéressant, 81 % des violations de données se produisent lorsque les clients utilisent un mot de passe faible ou des informations d'identification compromises pour se connecter à leurs comptes.

5. Adoptez l'authentification sans mot de passe

De nombreuses entreprises utilisent un moyen nouveau et innovant pour empêcher les cyberattaques de bourrage d'informations d'identification : l'authentification sans mot de passe.

Au lieu d'utiliser un mot de passe pour identifier un client, l'authentification sans mot de passe vérifie un client à l'aide de son appareil, d'un autre compte ou de données biométriques.

L'authentification sans mot de passe optimise la sécurité de votre connexion. Il élimine le vol potentiel de mots de passe.

De telles méthodes évitent à vos clients d'avoir à se souvenir de mots de passe longs et complexes.

Statistiques intéressantes : 78 % des clients Gen-Z utilisent le même mot de passe pour plusieurs comptes en ligne.

6. Utiliser un pare-feu d'application Web (WAF)

La mise en place d'un pare-feu applicatif web est un excellent moyen de détecter le trafic anormal des cybercriminels.

La plupart des WAF identifient les tentatives de connexion potentielles, en particulier lorsque les cybercriminels tentent soudainement de nombreuses tentatives.

En plus d'identifier les instances potentielles de credential stuffing, WAF empêche les violations de données causées lors d'une attaque Web.

Conseil de pro : implémentez le WAF sur tous vos sites Web pour éviter les violations de données et le credential stuffing.

7. Utiliser le hachage des identifiants

Pour empêcher les cybercriminels de voler des mots de passe, utilisez le hachage des informations d'identification. Dans le processus de hachage des informations d'identification, le système brouille le mot de passe d'un utilisateur avant de le stocker dans votre base de données. Même si les cybercriminels ont accès à ces mots de passe, ils ne pourront pas les utiliser.

Bien que le hachage des mots de passe puisse être trop efficace pour empêcher le credential stuffing, il permet de limiter ce que les cybercriminels peuvent faire avec ces mots de passe volés.

Conseil de pro : le piratage des informations d'identification diffère du chiffrement car il s'agit d'une fonction cryptographique à sens unique, tandis que le chiffrement fonctionne dans les deux sens. Comme le processus de cryptage est réversible,

les cybercriminels obtiennent la clé secrète pour déchiffrer le texte.

8. Utiliser la liste noire IP

Habituellement, les cybercriminels ont accès à un pool limité d'adresses IP. Lorsque vous remarquez des tentatives de connexion à plusieurs comptes à partir de la même adresse IP, mettez toutes ces adresses IP sur liste noire.

Pour éviter d'être la proie de faux positifs, gardez une trace des dernières adresses IP utilisées pour vous connecter au compte de votre client. Ensuite, comparez les adresses IP aux adresses suspectes.

La source

Le seul inconvénient de l'utilisation du backlisting IP est que les cybercriminels peuvent utiliser des techniques telles que l'usurpation d'adresse IP, ce qui donne l'impression qu'ils se connectent au système en utilisant une adresse IP différente.

Cela permet aux cybercriminels de contourner la liste noire tout en masquant leur identité.

Conseil de pro : un processus complet de liste noire IP empêche les cybercriminels de voler les informations d'identification et d'accéder aux informations d'identification de votre client.

9. Bloquer l'utilisation des navigateurs sans tête

Un navigateur sans tête est un navigateur Web sans interface utilisateur. Bien que ces navigateurs accèdent à la page Web, l'interface utilisateur graphique ou GUI est cachée aux utilisateurs.

En règle générale, les développeurs utilisent des navigateurs sans tête pour les tests de sites Web et d'applications et les tests de bibliothèque JavaScript, mais les cybercriminels les utilisent pour les fraudes au clic et pour accéder aux informations d'identification des clients.

Bloquer l'accès à ces navigateurs sans tête signifie empêcher les activités suspectes.

Conseil de pro : Comme ces navigateurs n'ont pas d'interface graphique pour naviguer, vous contrôlez ou bloquez ces navigateurs à l'aide de scripts automatisés ou d'une interface de ligne de commande.

Exemples d'attaques par credential stuffing

Depuis leur création, les attaques de credential stuffing ont eu un impact sur les entreprises de tous les secteurs. Certaines attaques importantes et remarquables sont:

La face nord

The North Face, un détaillant de produits de plein air bien connu, a fait face à une attaque massive de bourrage d'informations d'identification en 2020. Les attaquants ont eu accès à des informations telles que les noms des clients, les numéros de téléphone, les factures, les adresses de livraison, les préférences de messagerie et les produits préférés.

Après l'attaque, North Face a dû réinitialiser les mots de passe d'un nombre indéterminé de clients. En outre, la société a réduit le taux de connexion au compte à partir de toute source suspecte.

HSBC

Vers la fin de 2018, HSBC a été confronté à une attaque majeure de credential stuffing, qui a compromis la sécurité financière de milliers de clients.

La banque a suspendu l'accès aux comptes en ligne pour tous les clients concernés et a lancé des procédures de changement de mots de passe pour les comptes bancaires en ligne. La banque a finalement appliqué diverses mesures de cybersécurité pour empêcher de futures attaques de se produire.

DailyMotion

En 2019, DailyMotion a été confronté à une attaque de bourrage d'informations d'identification à grande échelle et continue par des cybercriminels. La plateforme de partage de vidéos a alerté tous ses clients impactés et a apporté un accompagnement personnalisé à chacun d'entre eux.

Dunkin Donuts

En trois mois, Dunkin Donuts a été victime d'une attaque de credential stuffing à deux reprises. Les attaquants ont eu accès au prénom, au nom, à l'adresse e-mail de leur client, au numéro de compte Dunkin Donuts à 16 chiffres et au code QR des avantages. Dunkin Donuts a activement informé les clients de cette attaque.

L'entreprise a utilisé diverses mesures pour empêcher de nouvelles attaques et assurer la sécurité des données des clients.

Empêcher les attaques de credential stuffing comme un pro

Bien qu'il n'existe pas de solution définitive pour empêcher les cyberattaques de bourrage d'informations d'identification, suivre les mesures mentionnées ci-dessus fournit une couche de sécurité supplémentaire.

Les cybercriminels et vos clients utilisent les mêmes navigateurs. Votre entreprise a donc besoin d'une protection solide et efficace contre le credential stuffing pour détecter les attaques potentielles.

Que vous soyez une petite ou une moyenne entreprise, il est impératif d'avoir un partenaire de sécurité réputé qui vous aide à répondre à vos exigences de sécurité et à garantir que les informations d'identification de vos clients restent entre de bonnes mains.

Ne négligez aucun effort lors de la mise en œuvre de ces neuf conseils, car il s'agit de votre entreprise et de vos clients, et vous devez protéger leurs informations d'identification.