Le bourrage d’identifiants ou credencial stuffing est le fait pour un pirate d’essayer de se connecter à un site internet en utilisant un grand nombre d’identifiants et leur mot de passe associé. Ils sont obtenus à la suite d’un vol de données. Le hacker parie sur le fait que certaines personnes vont utiliser le même mot de passe pour plusieurs services.
Comment l’attaque est réalisée?
Cette attaque est caractérisée par une très forte et soudaine affluence sur le site. Le pirate va en effet utiliser un robot qui va envoyer un très grand nombre de requêtes pour essayer tous les identifiants qu’il a en sa possession.
En cas de réussite, les données de l’utilisateur pourront donc être exposées à un tiers (voir entrainer une utilisation abusive ou frauduleuse du service).
Comment se proteger?
On pourrait penser que la réussite de ce genre d’attaque est de la faute des utilisateurs qui vont utiliser le même mot de passe pour plusieurs sites internet. Cependant, un responsable de traitement peut voir sa responsabilité engagée s’il n’a rien fait pour entraver la possibilité de ce genre d’attaque. En effet, il suffit de limiter le nombre de tentative de connexion ou de prévoir un mécanisme de double authentification.
En cas d’absence de mesures, la Cnil sanctionne !
Ils ont eu respectivement 150 000€ et 75 000€ d’amende. En effet, après avoir découvert qu’ils faisaient l’objet d’une attaque de ce type, ils ont mis plus d’un an à développer leur propre solution alors même que des mesures simples et immédiate auraient pu être mise en place comme:
- la limitation du nombre de requêtes autorisées par adresse IP sur le site web
- la mise en place d’un CAPTCHA permettant de bloquer les robots.
Pour en savoir plus sur comment se réagir à ce genre d’attaque: https://www.cnil.fr/fr/la-violation-du-trimestre-attaque-par-credential-stuffing-sur-un-site-web