(Mécanismes et dessous d'une nouvelle forme de cyberattaque intitulée "credential stuffing" - Crédit photo : Adobe Stock)
Les techniques des cybermalfaiteurs n'en finissent pas de se sophistiquer aux dépens des systèmes d'information théoriquement sécurisés des entreprises et de leurs clients finaux. Voici une nouvelle cyberattaque qui met à mal une nouvelle fois les informations personnelles et les données bancaires confiées à des tiers, notamment pour des besoins commerciaux ou marketing. Décryptage.
En quoi consiste le credential stuffing ?
On parle de credential stuffing ou «bourrage d'identifiants» quand des cybermalfaiteurs utilisent des fuites de données antérieures pour se connecter à d'autres portails, sites ou plateformes à partir par exemple des binômes suivants : noms + identifiants ou noms + mots de passe, subtilisés précédemment.
En faisant tourner des scripts et bots sur des sites Internet populaires (commerçants ou non), ils tentent la connexion à la place de l'individu en essayant des combinaisons de données ayant une forte probabilité de similitudes avec d'autres sites.
À l'origine de ce phénomène, on trouve donc souvent une négligence de l'utilisateur au niveau du choix ou du renouvellement de ses mots de passe, souvent trop simples à deviner ou trop semblables entre eux sur les différents sites d'e-commerce, de services ou d'abonnements en ligne qu'il fréquente.
Quelle est la tendance en matière de cyberprotection ? Selon des chiffres récents de la FBF (1), trois quarts des Français recourent à un mot de passe exclusif pour l'accès à leur espace bancaire (en baisse constante depuis 2022). De plus, ils sont de plus en plus nombreux à enregistrer leurs données bancaires sur les sites marchands qu'ils visitent pour gagner du temps lors de leurs transactions, avec 31% de répondants (vs 27% en 2022 et 26% en 2023).
Quelles sont les conséquences d'un credential stuffing réussi ?
Plus les tentatives de connexions sont massives, plus la probabilité de deviner des données confidentielles sera forte. Au final, c'est l'ampleur de l'attaque constatée en nombre de victimes finales qui donne une première indication de son pouvoir de nuisance.
Quels sont les différents types de risques auxquels sont exposées les victimes de credential stuffing ?
Les risques liés au credential stuffing sont multiples, avec par exemple :
- Connexion sans autorisation à des comptes ou espaces clients personnels.
- Usurpation d'identité pouvant conduire à une atteinte à la réputation.
- Aspiration de données bancaires confidentielles - telles que l'IBAN - même si cette première étape de récupération ne suffit pas à réaliser dans la foulée une fraude mais peut faciliter les scénarios de phishing ou d'ingénierie sociale ultérieurs.
- Propagation de logiciels malveillants sur le poste ou le smartphone de la victime.
Existe-t-il plusieurs niveaux de risques liés au credential stuffing ?
Les données détournées ou volées sont de plusieurs natures selon leur disponibilité et peuvent s'avérer problématiques quand elles permettent d'identifier et de mieux connaître la personne : adresse postale, adresse email, numéro de téléphone, civilité, nom, âge, sexe, csp, nombre et âge des enfants, et IBAN. Ce dernier élément est celui-qui se monétise immédiatement dans le «dark web» avec un potentiel élevé de fraudes bancaires à la clé.
Quel est le cas récent qui a affecté les clients d'une grande enseigne ? Ce sont 20.000 clients du site Seconde Main by Kiabi dont des données personnelles et l'IBAN ont été dérobés par des hackers. S'agissant d'une attaque visant le site secondaire de la marque, elle n'a a priori pas concerné le site principal Kiabi.com (2). Des mesures ont été immédiatement prises par l'enseigne notamment pour masquer par une fonctionnalité les IBAN récupérés, réinitialiser automatiquement les mots de passe des clients et informer chaque personne impactée conformément à la réglementation. En novembre dernier, c'était l'enseigne française de surgelés Picard qui avait fait les frais d'une telle cyberattaque avec 45.000 clients de son programme de fidélité touchés (3).
Comment limiter les impacts d'un credential stuffing ?
Face à l'intelligence employée par les cybermalfaiteurs, voici les 6 recommandations à suivre pour limiter les risques et réduire leur portée en cas de survenance d'une cyberattaque du type credential stuffing :
1) Choisir des mots de passe uniques et complexes pour chaque site, et non une suite logique facile à mémoriser comme sa date de naissance ou son nom de famille ! De plus, changer régulièrement ses mots de passe pour casser une éventuelle boucle de cybermalveillance.
2) N'enregistrer ses coordonnées bancaires qu'auprès de certains tiers de confiance, que quand cela est nécessaire.
3) Demander une suppression définitive de toutes ses données personnelles (avec mail de confirmation), en cas de désabonnement à un service.
4) Surveiller toute activité suspecte qui apparaîtrait sur son compte bancaire (ex : débit inexpliqué, ajout d'un bénéficiaire inconnu etc.).
5) Lire attentivement les conditions générales de vente lors des achats en ligne avant de les accepter.
6) En cas d'incident avéré (détecté soi-même ou signalé par un organisme ou un professionnel), il est important de déclarer la
cyberfraude,
en précisant, autant que possible, le site sur lequel il est survenu et d'en faire part à votre banquier pour un blocage momentané du compte bancaire.
Le fait de s'informer permet déjà d'être en alerte sur les différents types de cyberattaques. En fixant des barrières au niveau de ses données de connexion, il est possible de les contrer en évitant une duplication évidente des informations entre plusieurs sites. En parallèle, les consommateurs doivent renforcer leur vigilance sur leurs usages en matière de transmission des données bancaires à des tiers, qui ne doit pas se banaliser.
À lire aussi
Fraude bancaire : 6 méthodes fréquemment utilisées par les arnaqueurs
Le blocage téléphonique des fraudeurs arrive : sera-t-il suffisant pour éviter les arnaques ?
Mule bancaire : méfiez-vous de cette arnaque qui se répand…
(1) https://www.fbf.fr/uploads/2024/09/Rapport-Harris-Les-Franc%CC%A7ais-et-la-cyberse%CC%81curite%CC%81-FBF-Vague-3.pdf (page 12)
(2) https://www.boursorama.com/actualite-economique/actualites/cyberattaque-sur-le-site-de-seconde-main-de-kiabi-des-iban-derobes-8d9ae714d9347834b3ce0ec4df194a42
(3) https://www.usine-digitale.fr/article/kiabi-touche-par-une-cyberattaque-les-coordonnees-bancaires-de-20-000-clients-derobees.N2225770
1 commentaire
Vous devez être membre pour ajouter un commentaire.
Vous êtes déjà membre ? Connectez-vous
Pas encore membre ? Devenez membre gratuitement
Signaler le commentaire
Fermer