Le bourrage d’identifiants (credential stuffing) est un type d’attaque cybernétique populaire où les attaquants prennent des identifiants de connexion et les utilisent sur des milliers de sites internet, dans l’espoir d’accéder frauduleusement aux comptes des personnes. C’est une attaque efficace, mais heureusement, facile à prévenir.
Cet article examine le bourrage d’identifiants en détail et explique comment vous pouvez vous en protéger.
- Qu’est-ce que le bourrage d’identifiants ?
- Comment prévenir une attaque par bourrage d’identifiants ?
Qu’est-ce que le bourrage d’identifiants ?
Une attaque par bourrage d’identifiants se produit lorsqu’un attaquant prend les noms d’utilisateur, les adresses e-mail et les mots de passe (les données d’identification) des personnes et utilise des outils automatisés pour les injecter dans autant de sites que possible (le bourrage). Dans presque tous les cas, les attaquants obtiennent ces données d’identification à partir d’une attaque antérieure ou d’une fuite de données, comme celle qui a affecté Dropbox.
Fonctionnement d’une attaque par bourrage d’identifiants
Le fait que de nombreuses personnes souffrent de la fatigue des mots de passe fait du bourrage d’identifiants une attaque efficace. Jusqu’à 65 % des personnes(nouvelle fenêtre) (contenu en anglais) réutilisent leurs mots de passe sur plusieurs comptes, ce qui signifie que si leurs mots de passe sont divulgués lors d’une fuite de données, tous ces comptes sont menacés.
Par exemple, si vous aviez un compte sur un service en ligne utilisant alaindupont92 comme nom d’utilisateur et motdepasse123 comme mot de passe, un attaquant pourrait utiliser un logiciel automatisé pour essayer autant d’autres services que possible pour voir si vous avez utilisé cette combinaison de nom d’utilisateur et de mot de passe ailleurs. Si c’est le cas, il obtient facilement accès à un autre compte.
Le bourrage d’identifiants est généralement classé comme une attaque par force brute (où un attaquant utilise un logiciel pour « deviner » un mot de passe en essayant toutes les combinaisons possibles de lettres et de symboles) car il repose sur le même principe. Seulement, au lieu d’essayer tous les mots de passe possibles pour accéder à un seul service, le bourrage d’identifiants utilise un seul mot de passe et l’essaie sur tous les sites internet et services.
La régularité des fuites de données massives rend facile pour les attaquants de réaliser un bourrage d’identifiants. Bien que les chiffres vérifiables soient difficiles à trouver, la prévalence des mots de passe réutilisés suggère qu’ils sont efficaces. Selon la société de gestion des accès Okta(nouvelle fenêtre), 34 % des tentatives d’accès via sa plateforme sont identifiées comme des attaques par bourrage d’identifiants.
Comment prévenir une attaque par bourrage d’identifiants ?
Aussi courantes et réussies qu’elles soient, il existe un moyen étonnamment simple de se protéger contre les attaques par bourrage d’identifiants : ne jamais réutiliser vos mots de passe. Si vous protégez chacun de vos comptes avec un mot de passe unique et aléatoire, le bourrage d’identifiants ne fonctionnera sur aucun de vos comptes et les autres tentatives de force brute échoueront probablement aussi.
Pour créer des mots de passe forts, aléatoires qui sont presque impossibles à craquer pour la plupart des ordinateurs, vous devez utiliser un générateur de mots de passe. Bien entendu, il reste à se souvenir de tous ces nouveaux mots de passe aléatoires, ce qui est pratiquement impossible pour la plupart des gens.
C’est là que les gestionnaires de mots de passe interviennent. Ce sont des programmes qui peuvent stocker vos mots de passe et les remplir automatiquement chaque fois que vous en avez besoin. L’utilité des gestionnaires de mots de passe est inestimable. Ils représentent une amélioration considérable de votre qualité de vie numérique, en plus de renforcer votre sécurité en ligne.
Comment Proton Pass peut vous aider ?
Comme votre gestionnaire de mots de passe contient des informations très précieuses, il est judicieux d’opter pour un outil extrêmement sécurisé, raison pour laquelle nous avons développé Proton Pass. À l’instar de tous les produits Proton, il utilise le chiffrement de bout en bout pour protéger les données en permanence, ce qui signifie que même en cas de violation peu probable de nos systèmes, toutes vos données resteraient sécurisées.
Proton Pass est doté d’un générateur de mots de passe intégré, ainsi que de la possibilité de stocker et de remplir automatiquement les mots de passe et les cartes bancaires et même d’ajouter des notes sécurisées. Toutes ces informations peuvent être partagées avec vos amis et votre famille en cas de besoin tout en restant sécurisées.
De plus, Proton Pass vous permet également de créer des alias d’adresse e-mail qui protègent votre véritable adresse e-mail des marketeurs et des cybercriminels, offrant ainsi une protection supplémentaire contre le bourrage d’identifiants.
Si vous voulez vous protéger contre le bourrage d’identifiants tout en disposant d’un gestionnaire de mots de passe facile à utiliser qui vous permet de faire plus que simplement stocker des mots de passe, créez un compte Proton Pass gratuit dès aujourd’hui.
