Aller au contenu principal Activer le contraste adaptéDésactiver le contraste adapté
Fermer
  2. Aide
  2. Aide
Plus de 40000 produits accessibles à 0€ de frais de courtage
Découvrir Boursomarkets

Credential stuffing : quelle est cette cyberattaque récente subie par une grande enseigne ?
information fournie par BoursoBank 08/02/2025 à 08:00

(Mécanismes et dessous d'une nouvelle forme de cyberattaque intitulée "credential stuffing" - Crédit photo : Adobe Stock)

(Mécanismes et dessous d'une nouvelle forme de cyberattaque intitulée "credential stuffing" - Crédit photo : Adobe Stock)

Les techniques des cybermalfaiteurs n'en finissent pas de se sophistiquer aux dépens des systèmes d'information théoriquement sécurisés des entreprises et de leurs clients finaux. Voici une nouvelle cyberattaque qui met à mal une nouvelle fois les informations personnelles et les données bancaires confiées à des tiers, notamment pour des besoins commerciaux ou marketing. Décryptage.

En quoi consiste le credential stuffing ?

On parle de credential stuffing ou «bourrage d'identifiants» quand des cybermalfaiteurs utilisent des fuites de données antérieures pour se connecter à d'autres portails, sites ou plateformes à partir par exemple des binômes suivants : noms + identifiants ou noms + mots de passe, subtilisés précédemment.

En faisant tourner des scripts et bots sur des sites Internet populaires (commerçants ou non), ils tentent la connexion à la place de l'individu en essayant des combinaisons de données ayant une forte probabilité de similitudes avec d'autres sites.

À l'origine de ce phénomène, on trouve donc souvent une négligence de l'utilisateur au niveau du choix ou du renouvellement de ses mots de passe, souvent trop simples à deviner ou trop semblables entre eux sur les différents sites d'e-commerce, de services ou d'abonnements en ligne qu'il fréquente.

Quelle est la tendance en matière de cyberprotection ? Selon des chiffres récents de la FBF (1), trois quarts des Français recourent à un mot de passe exclusif pour l'accès à leur espace bancaire (en baisse constante depuis 2022). De plus, ils sont de plus en plus nombreux à enregistrer leurs données bancaires sur les sites marchands qu'ils visitent pour gagner du temps lors de leurs transactions, avec 31% de répondants (vs 27% en 2022 et 26% en 2023).

Quelles sont les conséquences d'un credential stuffing réussi ?

Plus les tentatives de connexions sont massives, plus la probabilité de deviner des données confidentielles sera forte. Au final, c'est l'ampleur de l'attaque constatée en nombre de victimes finales qui donne une première indication de son pouvoir de nuisance.

Quels sont les différents types de risques auxquels sont exposées les victimes de credential stuffing ?

Les risques liés au credential stuffing sont multiples, avec par exemple :

  • Connexion sans autorisation à des comptes ou espaces clients personnels.
  • Usurpation d'identité pouvant conduire à une atteinte à la réputation.
  • Aspiration de données bancaires confidentielles - telles que l'IBAN - même si cette première étape de récupération ne suffit pas à réaliser dans la foulée une fraude mais peut faciliter les scénarios de phishing ou d'ingénierie sociale ultérieurs.
  • Propagation de logiciels malveillants sur le poste ou le smartphone de la victime.

Existe-t-il plusieurs niveaux de risques liés au credential stuffing ?

Les données détournées ou volées sont de plusieurs natures selon leur disponibilité et peuvent s'avérer problématiques quand elles permettent d'identifier et de mieux connaître la personne : adresse postale, adresse email, numéro de téléphone, civilité, nom, âge, sexe, csp, nombre et âge des enfants, et IBAN. Ce dernier élément est celui-qui se monétise immédiatement dans le «dark web» avec un potentiel élevé de fraudes bancaires à la clé.

Quel est le cas récent qui a affecté les clients d'une grande enseigne ? Ce sont 20.000 clients du site Seconde Main by Kiabi dont des données personnelles et l'IBAN ont été dérobés par des hackers. S'agissant d'une attaque visant le site secondaire de la marque, elle n'a a priori pas concerné le site principal Kiabi.com (2). Des mesures ont été immédiatement prises par l'enseigne notamment pour masquer par une fonctionnalité les IBAN récupérés, réinitialiser automatiquement les mots de passe des clients et informer chaque personne impactée conformément à la réglementation. En novembre dernier, c'était l'enseigne française de surgelés Picard qui avait fait les frais d'une telle cyberattaque avec 45.000 clients de son programme de fidélité touchés (3).

Comment limiter les impacts d'un credential stuffing ?

Face à l'intelligence employée par les cybermalfaiteurs, voici les 6 recommandations à suivre pour limiter les risques et réduire leur portée en cas de survenance d'une cyberattaque du type credential stuffing :

1) Choisir des mots de passe uniques et complexes pour chaque site, et non une suite logique facile à mémoriser comme sa date de naissance ou son nom de famille ! De plus, changer régulièrement ses mots de passe pour casser une éventuelle boucle de cybermalveillance.
2)  N'enregistrer ses coordonnées bancaires qu'auprès de certains tiers de confiance, que quand cela est nécessaire.
3)  Demander une suppression définitive de toutes ses données personnelles (avec mail de confirmation), en cas de désabonnement à un service.
4)  Surveiller toute activité suspecte qui apparaîtrait sur son compte bancaire (ex : débit inexpliqué, ajout d'un bénéficiaire inconnu etc.).
5)  Lire attentivement les conditions générales de vente lors des achats en ligne avant de les accepter.
6)  En cas d'incident avéré (détecté soi-même ou signalé par un organisme ou un professionnel), il est important de déclarer la cyberfraude, en précisant, autant que possible, le site sur lequel il est survenu et d'en faire part à votre banquier pour un blocage momentané du compte bancaire.

Le fait de s'informer permet déjà d'être en alerte sur les différents types de cyberattaques. En fixant des barrières au niveau de ses données de connexion, il est possible de les contrer en évitant une duplication évidente des informations entre plusieurs sites. En parallèle, les consommateurs doivent renforcer leur vigilance sur leurs usages en matière de transmission des données bancaires à des tiers, qui ne doit pas se banaliser.

À lire aussi
Fraude bancaire : 6 méthodes fréquemment utilisées par les arnaqueurs

Le blocage téléphonique des fraudeurs arrive : sera-t-il suffisant pour éviter les arnaques ?

Mule bancaire : méfiez-vous de cette arnaque qui se répand…

(1) https://www.fbf.fr/uploads/2024/09/Rapport-Harris-Les-Franc%CC%A7ais-et-la-cyberse%CC%81curite%CC%81-FBF-Vague-3.pdf (page 12)
(2) https://www.boursorama.com/actualite-economique/actualites/cyberattaque-sur-le-site-de-seconde-main-de-kiabi-des-iban-derobes-8d9ae714d9347834b3ce0ec4df194a42
(3) https://www.usine-digitale.fr/article/kiabi-touche-par-une-cyberattaque-les-coordonnees-bancaires-de-20-000-clients-derobees.N2225770

Ségolène Marquier
Ségolène Marquier

Ségolène Marquier

Boursorama

rédactrice web

https://www.boursobank.com
Voir tous ses articles
Arnaques et escroqueries

1 commentaire

  • 08 février 08:16

    AMELI cyberattaque 500 000 patients récupérés...

Signaler le commentaire

Fermer

A lire aussi

  • Des conteneurs d'expédition sont visibles dans un terminal du port d'Oakland, en Californie
    Etats-Unis, Le PIB s'est contracté de 0,3% au T1, estimation préliminaire
    information fournie par Reuters 30.04.2025 15:09 

    L'économie américaine s'est contractée de manière inattendue au premier trimestre, plombée par un déluge de biens importés par des entreprises désireuses d'éviter des coûts plus élevés en raison des droits de douane, montre mercredi la première estimation des données ... Lire la suite

  • ( AFP / SEBASTIEN DUPUY )
    Le groupe Prada voit ses ventes progresser de 12,5% au premier trimestre
    information fournie par Boursorama avec AFP 30.04.2025 15:02 

    Le groupe italien Prada, qui vient d'acquérir sa rivale italienne Versace, a enregistré une hausse de 12,5% de ses ventes au premier trimestre, grâce à de bonnes performances sur tous ses marchés. Le chiffre d'affaires du groupe a atteint 1,34 milliard d'euros, ... Lire la suite

  • Une statuette de divinité présentée dans le cadre de l'exposition "Bronzes royaux d'Angkor" au musée Guimet à Paris, le 28 avril 2025 ( AFP / STEPHANE DE SAKUTIN )
    À Paris, les trésors de bronze du Cambodge se dévoilent
    information fournie par AFP 30.04.2025 15:00 

    Au-delà des temples en pierre, l'art khmer regorge de trésors de bronze auxquels le musée Guimet, à Paris, consacre une exposition, avec en point d'orgue la version restaurée d'une monumentale statue de Vishnu, surnommée "la Joconde du Cambodge". Intitulée "Bronzes ... Lire la suite

  • "Les Linceuls" de David Cronenberg : Vincent Cassel et Diane Kruger face à la mort
    "Les Linceuls" de David Cronenberg : Vincent Cassel et Diane Kruger face à la mort
    information fournie par France 24 30.04.2025 14:58 

    Dans ce nouveau numéro de "À l'Affiche" 100 % cinéma, Louise Dupont et Thomas Baurez reviennent sur les sorties de la semaine. Avec d'abord "Les Linceuls" de David Cronenberg. Dans ce nouveau film, le réalisateur met Vincent Cassel et Diane Kruger face à la mort, ... Lire la suite

Pages les plus populaires

L'offre BoursoBank