Se faire voler ses données personnelles est déjà assez pénible, mais c’est encore pire lorsque celles-ci sont utilisées pour accéder à un autre de nos comptes en ligne. Bienvenue dans le monde trouble du bourrage d’identifiants où les cybercriminels s’arment d’informations dérobées pour pénétrer de force sur des sites protégés tels que votre compte bancaire en ligne. Découvrez ce qui rend le bourrage d’identifiants efficace et comment vous pourriez sans le vouloir aider les pirates informatiques. Surtout, prenez des mesures pour protéger vos appareils et votre identité numérique grâce à la protection en ligne experte d’Avira Free Security.
Qu’est-ce que le bourrage d’identifiants et pourquoi est-il un problème de plus en plus criant ?
En termes simples, le nom dit (presque) tout : Les pirates informatiques volent des identifiants et « bourrent » ces noms d’utilisateur et ces mots de passe dans les champs de connexion des comptes en ligne dans l’espoir d’obtenir l’accès à ces services. Le bourrage d’identifiants est un type de cyberattaque courant dont nous devons tous avoir connaissance. Heureusement, il y a de bonnes nouvelles : En adoptant les bonnes mesures de sécurité, il est largement possible de l’éviter. Comprendre comment ces attaques se produisent peut nous aider à nous protéger.
Où les cybercriminels achètent-ils donc les données dont ils ont besoin pour lancer ces attaques ? Ils plongent en réalité dans les profondeur d’Internet. L’accès illicite à des comptes est appelé violation. Le Dark Web est en fait inondé d’identifiants usurpés mis en vente sur des places de marché numériques illicites. (Le plus célèbre d’entre eux est probablement Silk Road, qui a depuis été fermé). On ne se rend pas dans ces bazars pour acheter des vestes d’occasion. Dans les zones les plus sombres du réseau, les affaires vont bon train avec littéralement le vol de milliards de combinaisons de noms d’utilisateur et de mots de passe, mis ouvertement à disposition en clair (c’est-à-dire en texte non chiffré et lisible) pour les pirates informatiques. Le dark net est bien plus qu’une plateforme d’e-commerce : Il offre aux pirates la possibilité de travailler en réseau et de collaborer en partageant des tactiques et en affinant leurs compétences. On y retrouve des écosystèmes économiques entiers de personnes mal intentionnées : Certains acteurs des menaces se spécialisent dans l’accès aux comptes et d’autres pratiques frauduleuses une fois l’accès obtenu.
Car dans le monde moderne, les données valent de l’or. La numérisation croissante de notre monde constitue une source inépuisable de données et de victimes potentielles, ce qui donne aux cybercriminels de nombreuses possibilités d’élargir leurs attaques. Pour vous donner une idée de l’ampleur et de la portée de ce phénomène, voici quelques-unes des plus grandes violations de données de l’histoire récente :
- En 2013, les informations personnelles d’environ 3 milliards d’utilisateurs de Yahoo ont été exposées.
- Sur une période de huit mois en 2019, un développeur travaillant pour un spécialiste du marketing d’affiliation a recueilli des données sur les clients du site web d’achat chinois Alibaba, Taobao, et mis ainsi en péril 1,1 milliard de données d’utilisateurs, dont les numéros de téléphone de clients.
- Toujours en 2019, deux ensembles de données provenant d’applis Facebook ont été exposés sur l’internet public, révélant des informations concernant plus de 530 millions de comptes d’utilisateurs.
- En juin 2021, le géant du réseautage LinkedIn a révélé que des données associées à 700 millions d’utilisateurs de LinkedIn avaient été publiées sur un forum du Dark Web.
Quels sont les mécanismes du bourrage d’identifiants ?
Une attaque type se déroule comme ceci :
Étape 1 : L’attaquant acquiert les noms d’utilisateur et les mots de passe par le biais d’une série de méthodes : violations de sites web, attaques de phishing ou autres attaques d’ingénierie sociale en utilisant un « site de décharge » illégal en ligne (où des millions d’identifiants d’utilisateurs sont en accès libre) ou simplement en achetant ses marchandises dans un bazar du darknet.
Étape 2 : L’attaquant teste les identifiants de connexion volés sur plusieurs sites web (généralement des sites de réseaux sociaux, des places de marché en ligne et des applications web). Le faire manuellement prendrait bien trop de temps. Il s’appuie donc sur des outils automatisés tels que des bots ou des réseaux entiers de botnets. Ces derniers passent rapidement d’un compte d’utilisateur à l’autre simultanément, tout en simulant différentes adresses IP. S’il réussit à déchiffrer le bon nom d’utilisateur/mot de passe, l’attaquant a maintenant l’accès et dispose d’un ensemble d’identifiants valides.
Étape 3 : Une fois que le pirate informatique a l’accès, il votre monde numérique à portée de mains. Il peut vider des comptes de toute la valeur qui y est stockée ou effectuer des achats. Il peut également s’emparer d’informations sensibles telles que des coordonnées bancaires, l’adresse d’un domicile, voire des photos ou des documents privés. Grâce à ces informations, il est en capacité de mettre la victime dans l’embarras, de la faire chanter ou d’usurper son identité et d’agir en ligne en son nom, jusqu’à demander une carte de crédit. Parfois, les acteurs des menaces utilisent les comptes volés pour envoyer des messages de phishing ou des spams, ou poursuivent simplement le cycle et vendent les identifiants valides à d’autres attaquants.
En parlant de vente, savez-vous ce que valent vos données sur le dark net ? Dès avril 2023, les détails d’une carte de crédit ayant un solde allant jusqu’à 5 000 dollars américains pouvaient se vendre environ 110 dollars américains selon Statista. Un compte Airbnb vérifié peut aller jusqu’à 300 dollars. Pour vous, il s’agit de simples données de connexion ou d’informations personnelles, pour les cybercriminels, c’est une liste de souhaits lucrative.
Quelle est l’efficacité des attaques par bourrage d’identifiants ?
Vous vous souvenez de l’histoire où on donne une machine à écrire à des singes et qu’au bout de quelques centaines d’années où ils frappent au hasard, ils finissent par produire accidentellement les œuvres de Shakespeare ? Le bourrage d’identifiants est en fait considéré comme l’une des techniques les plus courantes pour prendre le contrôle de comptes d’utilisateurs, car rien que le nombre conséquent d’attaques aléatoires fait que certaines trouveront de l’or. Il n’en reste pas moins que les tentatives de bourrage d’identifiants ont un taux de réussite statistiquement très faible.
Selon Shuman Ghosemajumder, ancien spécialiste de la fraude au clic chez Google, les attaques par bourrage d’identifiants ont un taux de réussite maximal de 2 % (dans le meilleur des cas). Si ces faibles chances ne semblent pas valoir le coup, tenez compte de cette information : Un million d’identifiants volés peuvent permettre d’accéder à plus de 20 000 comptes. En sachant que les attaquants peuvent tout simplement continuer et lancer le même processus avec les mêmes séries d’identifiants sur de nombreux services différents. Tout ce qu’il faut, c’est du temps, de la patience… et les progrès de la technologie. À noter que les sites web interdisent parfois les adresses IP des utilisateurs dont les tentatives de connexion ont échoué à plusieurs reprises. Les bots peuvent astucieusement contourner cette mesure de sécurité en faisant semblant de provenir d’une variété d’appareils, de sorte à ressembler à du trafic web ordinaire.
En plus des armées de bots, par leurs mauvaises pratiques sur Internet, les internautes peuvent contribuer à alimenter les attaques. Avez-vous déjà réutilisé des mots de passe ? Un seul ensemble d’informations d’identification pourrait permettre aux cybercriminels de faire de bonnes affaires sur plusieurs sites. Tant que nous serons paresseux avec les mots de passe, nous contribuerons à perpétuer le problème.
Un rapport américain de Forbes Advisor, qui a interrogé 2 000 personnes, a révélé l’ampleur de la pandémie des mots de passe faibles :
- 68 % ont dû changer leur mot de passe sur plusieurs comptes après que leur mot de passe ait été compromis.
- 42 % des personnes ne changent leur mot de passe que lorsqu’on leur demande, au lieu de le modifier régulièrement pour éviter les piratages.
- 35 % pensent que leur mot de passe a été piraté parce qu’il était faible, tandis que 30 % pensent que cela est dû à l’utilisation répétée du même mot de passe sur plusieurs comptes.
- Les comptes de réseaux sociaux sont la cible la plus courant du piratage de mots de passe, suivis des comptes de messagerie électronique.
Vous avez une aide à portée de main. Un gestionnaire de mots de passe comme Avira Password Manager peut générer des mots de passe quasiment impossibles à pirater et permet de les stocker dans un coffre-fort en ligne sécurisé. Vous n’avez qu’à vous souvenir d’un mot de passe principal (vous pouvez le faire) et l’outil s’occupe du reste – même de la saisie de vos données d’identification en ligne. Les gestionnaires de mots de passe sont l’outil de sécurité en ligne indispensable pour compliquer la vie des cybercriminels. N’ayez aucune pitié et procurez-vous en un.
Le bourrage d’identifiants et les autres méthodes d’attaque : Quelles sont les différences ?
Il existe quelques escroqueries de pirates informatiques qui consistent à utiliser ou à deviner les identifiants des utilisateurs. Mais toutes ne sont pas des attaques par bourrage d’identifiants. Découvrez les principales différences de fonctionnement et les objectifs de ces escroqueries courantes :
Bourrage d’identifiants et attaques par force brute
Lors d’une attaque par force brute, les pirates exécutent des combinaisons de noms d’utilisateur et de mots de passe générées par ordinateur jusqu’à toucher le jackpot et parvenir à se connecter à un compte. Il s’agit donc essentiellement de deviner en s’appuyant sur un logiciel pour accélérer le processus.
Bourrage d’identifiants et pulvérisation de mots de passe
Le bourrage d’identifiants utilise des noms d’utilisateur et des mots de passe dont on sait qu’ils sont associés à un compte en ligne. Il s’agit donc d’un pas en avant par rapport au « password spraying » (attaque par pulvérisation de mots de passe), où un pirate combine un nom d’utilisateur connu avec un mot de passe générique ou couramment utilisé pour tenter d’accéder à un compte. La pulvérisation de mots de passe implique davantage de conjectures et de chance.
Bourrage d’identifiants et prises de contrôle de compte
La prise de contrôle d’un compte est souvent l’objectif final d’un bourrage d’identifiants réussi. Lorsqu’un pirate réussit à s’introduire sur un compte à l’aide des bonnes informations d’identification, il peut alors modifier les paramètres de sécurité du compte, de sorte que l’utilisateur autorisé sera bloqué.
Bourrage d’identifiants et attaques d’annuaires
Une attaque d’annuaires ne consiste pas à voler des informations d’identification, mais à utiliser différentes variantes du format d’adresse e-mail d’une entreprise pour essayer de deviner de vraies adresses e-mail. Un logiciel peut permettre d’accélérer ce processus. Ce type d’attaque sert souvent à envoyer des messages publicitaires non sollicités (spam) par e-mail.
Bourrage d’identifiants et attaques DDoS
Vous ne pensez peut-être pas qu’il s’agit là d’une association naturelle. Une attaque par déni de service distribué (DDoS) est une tentative malveillante de perturber le fonctionnement normal d’un réseau, d’un service ou d’un site web en submergeant l’infrastructure par un flot de trafic Internet. Les ressources sont épuisées, ce qui provoque un chaos numérique et empêche les utilisateurs légitimes d’y accéder. Parfois, les cybercriminels utilisent le couvert d’une attaque DDoS pour dissimuler une attaque par bourrage d’identifiants. Quand la sécurité informatique est préoccupée par l’afflux de trafic, elle peut passer à côté de tentatives (apparemment) aléatoires d’accès aux comptes d’utilisateurs. Les attaques DDoS présentent également des similitudes avec le bourrage d’identifiants : Toutes deux s’appuient sur des botnets pour bombarder automatiquement les sites web. En réalité, le tristement célèbre botnet Mira a d’abord été utilisé pour des attaques DDoS, avant d’être réorienté vers le bourrage d’identifiants, une pratique qui s’est avérée plus rentable !
Comment identifier des tentatives de bourrage d’identifiants ?
La détection des attaques par bourrage d’identifiants peut s’avérer difficile car elles peuvent ressembler à une activité normale de l’utilisateur (même si les utilisateurs agaçants ont l’habitude de se verrouiller eux-mêmes). Soyez attentif à ces signaux d’alerte :
- Une série soudaine de tentatives de connexion infructueuses dans un court laps de temps, en particulier si elles impliquent plusieurs comptes d’utilisateurs.
- Des modèles de connexion inhabituels, tels que des tentatives de connexion multiples à partir d’adresses IP différentes.
- Des adresses IP suspectes qui donnent des indications sur l’origine des piratages. Par exemple, de nombreux employés censés être à Londres se retrouvent-ils tout à coup en Ouzbékistan ?
- Une augmentation du trafic sur le site qui entraîne des temps d’arrêt peut être le signe d’une attaque par bourrage d’identifiants.
L’objectif final des pirates est bien sûr d’éviter les soupçons et d’accéder aux comptes des utilisateurs. Pour les services informatiques, c’est un exercice d’équilibre : Ils doivent permettre un accès rapide aux comptes en perturbant au minimum les utilisateurs autorisés, tout en surveillant sans relâche les comportements suspects, tant au niveau des utilisateurs que des applications.
Action requise ! Vous pouvez contribuer à prévenir le bourrage d’identifiants
Tout comme les cybercriminels font appel à des technologies en constante évolution pour accélérer et améliorer leurs attaques, les utilisateurs et les services informatiques disposent eux aussi d’une série d’outils astucieux ! Il suffit de les utiliser. Voici une liste des principaux outils indispensables pour déjouer le bourrage d’identifiants :
L’authentification multifactorielle (AMT) : Cette méthode est considérée comme très efficace pour empêcher le bourrage d’identifiants. En plus du nom d’utilisateur et du mot de passe pour se connecter, les utilisateurs ont besoin d’une autre forme d’authentification (comme un code d’accès à usage unique envoyé par SMS ou une authentification biométrique telle qu’une empreinte digitale). Les cybercriminels n’ont normalement pas accès à cette deuxième forme d’identification.
L’authentification sans mot de passe : Comme on ne peut pas voler ce qui n’existe pas, cette pratique permet d’empêcher le bourrage d’identifiants. Les utilisateurs renoncent totalement au mot de passe au profit d’une autre forme d’authentification qu’ils sont les seuls à posséder, comme l’empreinte digitale ou la reconnaissance faciale.
L’authentification continue ou l’empreinte numérique de l’appareil : Cette méthode ne repose pas sur une connexion unique, mais vérifie l’identité d’un utilisateur en temps réel pendant qu’il utilise une application, en analysant, par exemple, ses modèles de comportement et « l’empreinte » typique de ses sessions (système d’exploitation, fuseau horaire, langue, etc.).
Les mots de passe robustes et les contrôles de sécurité des mots de passe : Certaines applications comparent le mot de passe soumis par l’utilisateur à une base de données de mots de passe compromis connus avant de l’accepter. En tant qu’utilisateur, optez toujours pour des mots de passe uniques et très complexes (une combinaison impressionnante de lettres majuscules et minuscules, de chiffres et de symboles) pour chaque compte. Consultez régulièrement le site Have I been pwned (HIBP). Lancé en 2013, il permet aux internautes de vérifier si leur adresse e-mail et les données personnelles qui y sont associées ont été compromises dans le cadre de violations de sécurité.
En plus de vous aider à générer et à stocker vos mots de passe, Avira Password Manager Pro peut vous alerter si votre e-mail a été compromis et partagé lors d’une violation de données. Il vous avertit également des mots de passe faibles ou réutilisés.
Ne jamais utiliser d’adresses e-mail comme identifiants : Le bourrage d’identifiants consiste à réutiliser des noms d’utilisateur ou des identifiants de compte. Le recyclage des identifiants a généralement toujours lieu quand l’identifiant est une adresse e-mail, car les utilisateurs n’ont qu’une poignée d’adresses (ou une seule !) parmi lesquelles choisir.
Ces outils sont utiles pour aider les professionnels de l’informatique à démasquer les robots à l’origine d’une attaque par bourrage d’identifiants :
Technologie d’identification des bots : Une bonne gestion des bots permet d’empêcher ces armées malveillantes d’effectuer des tentatives de connexion sans provoquer de frictions avec les connexions légitimes. Les algorithmes d’apprentissage automatique peuvent aider à identifier les schémas qui différencient les robots des humains et à détecter les pics de trafic provenant de lieux inconnus. Les équipes informatiques déploient souvent des logiciels spécialisés dans la détection des bots.
CAPTCHA : Les utilisateurs doivent donc effectuer une action pour prouver qu’ils sont humains, par exemple identifier des bicyclettes sur l’image. Cela peut réduire l’efficacité du bourrage d’identifiants, mais méfiez-vous : Les pirates peuvent contourner le CAPTCHA en utilisant des navigateurs sans tête. (Ces derniers n’ont pas d’interface utilisateur et sont donc bizarrement sans visage).
La mise sur liste noire d’adresses IP : Les attaquants disposent généralement d’un nombre limité d’adresses IP. Le blocage ou la mise en sandbox d’adresses IP peut donc constituer un moyen de défense utile contre les tentatives de connexion à de multiples comptes. Les équipes informatiques peuvent contrôler les dernières IP utilisées pour se connecter à un compte spécifique et les comparer à l’IP suspecte.
En tant que simples humains, nous avons besoin d’une protection numérique puissante en ligne
En fin de compte, malgré toute la technologie dont nous disposons pour contrer les attaques des pirates informatiques, le bourrage d’identifiants est le symptôme d’un problème qui nous concerne tous : Nous, humains, avons tendance à faire de mauvais choix sur Internet, comme opter pour un mot de passe simple et facile à mémoriser (tel que le nom de notre premier animal de compagnie). Aidez à vous protéger des malwares, des cybercriminels et même de vos propres erreurs en ligne en optant pour plusieurs niveaux de sécurité et de confidentialité en ligne. Avira Free Security pour Windows offre un large éventail de fonctionnalités, dont un antivirus, un gestionnaire de mots de passe, un outil de mise à jour de logiciels et un VPN. Il permet même de nettoyer les déchets numériques pour accélérer le fonctionnement de votre machine. Des versions sont proposées pour Mac, Android et iOS également.
Cet article est également disponible en: AnglaisAllemandItalien