Agence web » Actualités du digital » Qu'est-ce que le bourrage d'informations d'identification? (et comment vous protéger)

Qu'est-ce que le bourrage d'informations d'identification? (et comment vous protéger)

Au total, 500 millions de comptes Zoom sont en vente sur le dark web grâce au «bourrage des informations d'identification». C'est un moyen courant pour les criminels de pénétrer des comptes en ligne. Voici ce que ce terme signifie réellement et comment vous pouvez vous protéger.

Il commence par des bases de données de mots de passe divulguées

Les attaques contre les services en ligne sont courantes. Les criminels exploitent souvent les failles de sécurité des systèmes pour acquérir des bases de données de noms d'utilisateur et de mots de passe. Les bases de données des identifiants de connexion volés sont souvent vendues en ligne sur le dark web, les criminels payant en Bitcoin le privilège d'accéder à la base de données.

Supposons que vous disposiez d'un compte sur le forum Avast, qui a été piraté en 2014. Ce compte a été piraté, et les criminels peuvent avoir votre nom d'utilisateur et votre mot de passe sur le forum Avast. Avast vous a contacté et vous a fait changer le mot de passe de votre forum, alors quel est le problème?

Malheureusement, le problème est que de nombreuses personnes réutilisent les mêmes mots de passe sur différents sites Web. Supposons que vos informations de connexion au forum Avast étaient «you@example.com» et «AmazingPassword». Si vous vous connectez à d'autres sites Web avec le même nom d'utilisateur (votre adresse e-mail) et mot de passe, tout criminel qui acquiert vos mots de passe divulgués peut accéder à ces autres comptes.

Empotage des titres de compétences en action

Le «bourrage des informations d'identification» implique l'utilisation de ces bases de données de détails de connexion divulgués et la tentative de connexion avec eux sur d'autres services en ligne.

Les criminels prennent de grandes bases de données de combinaisons de nom d'utilisateur et de mot de passe divulguées – souvent des millions d'informations d'identification de connexion – et essaient de se connecter avec eux sur d'autres sites Web. Certaines personnes réutilisent le même mot de passe sur plusieurs sites Web, donc certaines correspondront. Cela peut généralement être automatisé avec un logiciel, en essayant rapidement de nombreuses combinaisons de connexion.

Pour quelque chose de si dangereux qui semble si technique, c'est tout: essayer des informations d'identification déjà divulguées sur d'autres services et voir ce qui fonctionne. En d'autres termes, les «pirates» remplissent toutes ces informations de connexion dans le formulaire de connexion et voient ce qui se passe. Certains d'entre eux fonctionneront certainement.

C'est l'un des moyens les plus courants utilisés par les attaquants pour pirater des comptes en ligne ces jours-ci. Rien qu'en 2018, le réseau de diffusion de contenu Akamai a enregistré près de 30 milliards d'attaques de bourrage d'informations d'identification.

Comment vous protéger

Se protéger contre le bourrage des informations d'identification est assez simple et implique de suivre les mêmes pratiques de sécurité par mot de passe que les experts en sécurité recommandent depuis des années. Il n'y a pas de solution magique, juste une bonne hygiène des mots de passe. Voici les conseils:

  • Évitez de réutiliser des mots de passe: Utilisez un mot de passe unique pour chaque compte que vous utilisez en ligne. De cette façon, même si votre mot de passe fuit, il ne peut pas être utilisé pour se connecter à d'autres sites Web. Les attaquants peuvent essayer d'intégrer vos informations d'identification dans d'autres formulaires de connexion, mais ils ne fonctionneront pas.
  • Utilisez un gestionnaire de mots de passe: Se souvenir de mots de passe uniques forts est une tâche presque impossible si vous avez des comptes sur un certain nombre de sites Web, et presque tout le monde en a. Nous vous recommandons d'utiliser un gestionnaire de mots de passe comme 1Password (payant) ou Bitwarden (gratuit et open-source) pour mémoriser vos mots de passe pour vous. Il peut même générer ces mots de passe forts à partir de zéro.
  • Activer l'authentification à deux facteurs: Avec l'authentification en deux étapes, vous devez fournir autre chose – comme un code généré par une application ou envoyé par SMS – chaque fois que vous vous connectez à un site Web. Même si un attaquant a votre nom d'utilisateur et votre mot de passe, il ne pourra pas se connecter à votre compte s'il n'a pas ce code.
  • Obtenez des notifications de mot de passe divulgué: Avec un service comme Have I Been Pwned?, Vous pouvez recevoir une notification lorsque vos informations d'identification apparaissent dans une fuite.

Comment les services peuvent se protéger contre le bourrage d'informations d'identification

Alors que les individus doivent assumer la responsabilité de la sécurisation de leurs comptes, il existe de nombreuses façons pour les services en ligne de se protéger contre les attaques de bourrage d'informations d'identification.

  • Analyser les bases de données présentant des fuites pour les mots de passe utilisateur: Facebook et Netflix ont analysé les bases de données ayant fait l'objet d'une fuite à la recherche de mots de passe, en les comparant aux informations d'identification de connexion sur leurs propres services. En cas de correspondance, Facebook ou Netflix peuvent inviter leur propre utilisateur à modifier leur mot de passe. C'est une façon de battre les bourreaux d'identification au punch.
  • Offrez une authentification à deux facteurs: Les utilisateurs doivent pouvoir activer l'authentification à deux facteurs pour sécuriser leurs comptes en ligne. Des services particulièrement sensibles peuvent rendre cela obligatoire. Ils peuvent également demander à un utilisateur de cliquer sur un lien de vérification de connexion dans un e-mail pour confirmer la demande de connexion.
  • Exiger un CAPTCHA: Si une tentative de connexion vous semble étrange, un service peut nécessiter la saisie d'un code CAPTCHA affiché dans une image ou cliquer sur un autre formulaire pour vérifier qu'un humain, et non un bot, tente de se connecter.
  • Limiter les tentatives de connexion répétées: Les services doivent tenter d'empêcher les bots de tenter un grand nombre de tentatives de connexion en peu de temps. Les bots sophistiqués modernes peuvent tenter de se connecter à partir de plusieurs adresses IP à la fois pour masquer leurs tentatives de bourrage d'informations d'identification.

Les mauvaises pratiques de mot de passe – et, pour être honnête, les systèmes en ligne mal sécurisés qui sont souvent trop faciles à compromettre – font que le bourrage des informations d'identification constitue un grave danger pour la sécurité des comptes en ligne. Il n'est pas étonnant que de nombreuses entreprises du secteur de la technologie veuillent construire un monde plus sûr sans mots de passe.

★★★★★