Technopedia Center
PMB University Brochure
Faculty of Engineering and Computer Science
S1 Informatics S1 Information Systems S1 Information Technology S1 Computer Engineering S1 Electrical Engineering S1 Civil Engineering

faculty of Economics and Business
S1 Management S1 Accountancy

Faculty of Letters and Educational Sciences
S1 English literature S1 English language education S1 Mathematics education S1 Sports Education
  2. Weltenzyklopädie
  3. Credential stuffing — Wikipédia
Credential stuffing — Wikipédia 👆 Click Here! Read More..
Un article de Wikipédia, l'encyclopédie libre.

Le credential stuffing est un type de cyberattaque où des informations de comptes volées consistant généralement en des listes d'identifiants et les mots de passe associés (souvent obtenus de manière frauduleuse) sont utilisés pour obtenir un accès non autorisé à des comptes utilisateurs par le biais de demandes de connexion automatisée à grande échelle adressées à des applications Web[1].

Contrairement au cassage de mot de passe, une attaque par credential stuffing ne tente pas de trouver un mot de passe par une attaque par force brute. L'attaquant automatise plutôt des tentatives de connexions en utilisant des milliers ou même des millions de paires d'identifiants / mots de passe précédemment découverts. Pour ce faire, il utilise des outils d'automatisation Web standards comme Selenium, cURL, PhantomJS ou des outils conçus spécifiquement pour ces types d'attaques comme Sentry MBA[2],[3].

Origine du terme

Le terme credential stuffing a été créé par Sumit Agarwal, cofondateur de Shape Security. Sumit Agarwal était à l'époque Deputy Assistant Secretary of Defense (en) au Pentagone[4].

Importance du problème

Les attaques par credential stuffing sont considérées comme l'une des principales menaces pour les applications Web et mobiles en raison du volume des divulgations malveillantes de paires d'identifiants / mots de passe. En , plus de 3 milliards de telles paires ont été divulguées à la suite de vols de données[5].

Incidents

Le , Superdrug au Royaume-Uni a été la cible d'une tentative de chantage. Des pirates ont prétendu avoir pénétré sur le site du pharmacien et avoir téléchargé 20 000 identifiants d'utilisateur. Une investigation a montré que les pirates bluffaient et les fausses preuves qu'ils présentaient avaient très probablement été obtenues grâce au credential stuffing, donc à cause de pratiques de sécurité insuffisantes de la part des clients de Superdrug et non à cause de faiblesses dans la sécurité du système de la compagnie[6],[7].

En  - , des attaquants ont eu accès à un répertoire GitHub privé utilisé par des développeurs d'Uber (Uber BV et Uber UK), en utilisant les identifiants et les mots de passe d'employés qui avaient été compromis lors de précédentes cyberattaques. Les pirates ont dit avoir piraté les comptes d'utilisateurs de 12 employés à l'aide du credential stuffing, car les adresses électroniques et les mots de passe de ces employés avaient été réutilisés sur d'autres plates-formes. L'authentification multi ou bifactorielle, bien que disponible, n'avait pas été activée pour les comptes concernés.

Les pirates ont ensuite obtenu l'accès à la base de données AWS de la société et ont ainsi pu accéder aux enregistrements de 32 millions d'utilisateurs non américains et de 3,7 millions de conducteurs non américains, ainsi qu'à d'autres données contenues dans plus de 100 fichiers Amazon S3. Les attaquants ont alerté Uber, exigeant le paiement de 100 000 $ pour supprimer les données. L'entreprise a payé la rançon par l'entremise d'un programme bug bounty, mais n'a pas divulgué l'incident aux parties touchées pendant plus d'un an. Après la découverte de l'infraction, l'entreprise a été condamnée à une amende de 385 000 £ (pouvant être réduite à 308 000 £) par le Information Commissioner's Office du Royaume-Uni[8].

Références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Credential stuffing » (voir la liste des auteurs).
  1. (en) Neal Mueller (avec Jmanico, Dirk Wetter, kingthorin, Nick Malcolm, Jahanrajkar Singh), « Credential Stuffing », sur owasp.org, Open Worldwide Application Security Project.
  2. (en) « Credential Spill Report » [PDF], Shape Security, (version du sur Internet Archive), p. 23 : « The most popular credential stuffing tool, Sentry MBA, uses “config” files for target websites that contain all the login sequence logic needed to automate login attempts ».
  3. (en) « Use of credential stuffing tools », sur ncsc.gov.uk, National Cyber Security Centre, .
  4. (en) Kevin Townsend, « Credential Stuffing: a Successful and Growing Attack Methodology », sur Security Week, (consulté le ).
  5. (en) Ericka Chickowski, « Credential-Stuffing Attacks Take Enterprise Systems By Storm », sur DarkReading, (consulté le ).
  6. (en) Paul Kunert, « Super-mugs: Hackers claim to have snatched 20k customer records from Brit biz Superdrug », The Register, .
  7. (en) Mathew J. Schwartz, « Superdrug Rebuffs Super Ransom After Supposed Super Heist », Euro Security Watch, sur databreachtoday.com, .
  8. (en) « Monetary Penalty Notice (Uber) » [PDF], Information Commissioner's Office, (version du sur Internet Archive).

Voir aussi

  • Have I Been Pwned?, site permettant de vérifier si un comptes a été compromis lors d'une cyberattaque, ce qui signifie que le mot de passe de ce compte est susceptible d'être exploité dans une attaque par credential stuffing
Pusat Layanan

UNIVERSITAS TEKNOKRAT INDONESIA | ASEAN's Best Private University
Jl. ZA. Pagar Alam No.9 -11, Labuhan Ratu, Kec. Kedaton, Kota Bandar Lampung, Lampung 35132
Phone: (0721) 702022
Email: pmb@teknokrat.ac.id