{"id":353134,"date":"2024-08-30T15:55:21","date_gmt":"2024-08-30T15:55:21","guid":{"rendered":"https:\/\/www.ninjaone.com\/it-hub\/%content_hub_category%\/qu-est-ce-que-le-credential-stuffing-bourrage-d-identifiants\/"},"modified":"2024-11-14T15:40:23","modified_gmt":"2024-11-14T15:40:23","slug":"qu-est-ce-que-le-credential-stuffing-bourrage-d-identifiants","status":"publish","type":"content_hub","link":"https:\/\/www.ninjaone.com\/fr\/it-hub\/endpoint-security\/qu-est-ce-que-le-credential-stuffing-bourrage-d-identifiants\/","title":{"rendered":"Qu’est-ce que le \u00ab\u00a0Credential Stuffing\u00a0\u00bb ?"},"content":{"rendered":"

Le \u00ab\u00a0Credential stuffing\u00a0\u00bb<\/b> ou bourrage d’identifiants, est une forme de cyberattaque dans laquelle les acteurs de la menace<\/a> utilisent les informations d’identification collect\u00e9es, telles que votre nom d’utilisateur et votre mot de passe, pour obtenir un acc\u00e8s frauduleux \u00e0 vos comptes. Contrairement aux attaques par force brute<\/a>, qui devinent vos mots de passe en utilisant des \u00ab\u00a0encyclop\u00e9dies\u00a0\u00bb de combinaisons de mots courants, le bourrage d’identifiants utilise des informations d’identification valides connues provenant de violations de donn\u00e9es.<\/a><\/p>\n

Le \u00ab\u00a0credential stuffing\u00a0\u00bb est \u00e9galement diff\u00e9rent du \u00ab\u00a0credential dumping \u00ab\u00a0<\/a>. Alors que le second utilise des informations d’identification vol\u00e9es pour acc\u00e9der aux appareils du m\u00eame r\u00e9seau, le premier injecte des paires de noms d’utilisateur et de mots de passe vol\u00e9s dans divers comptes dont on sait qu’ils sont les v\u00f4tres.<\/p>\n

Par exemple, si un pirate sait que vous utilisez la paire nom d’utilisateur-mot de passe A pour le compte A, il utilisera la m\u00eame paire A pour les comptes B, C, etc. Cela met en \u00e9vidence la vuln\u00e9rabilit\u00e9 inh\u00e9rente \u00e0 l’utilisation d’un m\u00eame mot de passe pour diff\u00e9rents comptes : Si un pirate informatique acc\u00e8de \u00e0 votre mot de passe, tous les comptes qui utilisent le m\u00eame mot de passe sont d\u00e9sormais compromis.<\/p>\n

<\/div>\n

Comment fonctionne le \u00ab\u00a0credential stuffing\u00a0\u00bb ?<\/h2>\n

Le bourrage d’identifiants est l’une des cyberattaques les plus courantes, en partie \u00e0 cause de sa simplicit\u00e9.<\/p>\n

Une fois qu’un cybercriminel a obtenu vos informations d’identification, que ce soit \u00e0 la suite d’une violation de donn\u00e9es, d’une attaque par hame\u00e7onnage ou d’un site de vidage de mots de passe, il utilise des outils automatis\u00e9s pour tester les informations d’identification vol\u00e9es sur tous les comptes connus dont vous \u00eates le propri\u00e9taire. S’ils parviennent \u00e0 acc\u00e9der \u00e0 votre compte, ils verront qu’ils disposent d’un ensemble d’informations d’identification valides.<\/p>\n

\u00c0 partir de l\u00e0, les possibilit\u00e9s sont infinies : les cybercriminels peuvent utiliser ces informations d’identification valides pour effectuer d’autres actes malveillants, comme effectuer de faux achats, voler les informations de votre carte de cr\u00e9dit et d’autres donn\u00e9es sensibles, ou utiliser votre compte pour envoyer des e-mails de phishing (hame\u00e7onnage).<\/a><\/p>\n

\"Graphique<\/p>\n

Le bourrage d’identifiants est-il efficace ?<\/h2>\n

Le bourrage d’identifiants est plus ax\u00e9 sur la quantit\u00e9 que sur la qualit\u00e9. Un peu comme si l’on jetait des spaghettis sur le mur et que l’on voyait lequel d’entre eux collait, le taux de r\u00e9ussite est inf\u00e9rieur \u00e0 celui d’une attaque plus cibl\u00e9e, telle que le spear phishing (harponnage)<\/a>. Cela dit, il reste tr\u00e8s efficace pour acc\u00e9der \u00e0 des centaines de milliers de comptes d’utilisateurs chaque ann\u00e9e, notamment parce que de nombreuses personnes r\u00e9utilisent le m\u00eame couple nom d’utilisateur\/mot de passe pour plusieurs comptes.<\/p>\n

Les chiffres parlent d’eux-m\u00eames\u00a0: 14% de toutes les violations de donn\u00e9es impliquent l’exploitation de vuln\u00e9rabilit\u00e9s comme premi\u00e8re \u00e9tape d’acc\u00e8s, en particulier avec des paires nom d’utilisateur-mot de passe faibles ou connues. (2024 Data Breach Investigations Report<\/a>, Verizon). Plus inqui\u00e9tant encore, 93 % des organisations d\u00e9clarent avoir subi au moins deux violations d’identit\u00e9 en 2023, l’identit\u00e9 machine (qui comprend les informations d’identification) \u00e9tant le type d’identit\u00e9 le plus risqu\u00e9 (Forbes<\/a>, 2024).<\/p>\n

L’usurpation d’identit\u00e9 reste une menace majeure pour la cybers\u00e9curit\u00e9, tant pour les organisations que pour les particuliers. Pour comprendre la menace inh\u00e9rente au credential stuffing, il suffit de penser au nombre de comptes que vous poss\u00e9dez et qui utilisent le m\u00eame nom d’utilisateur et le m\u00eame mot de passe, puis de penser au nombre de millions de personnes qui font la m\u00eame chose. Cela explique pourquoi 35 000 comptes PayPal<\/a> ont \u00e9t\u00e9 compromis par le credential stuffing en 2023 et pourquoi Okta a alert\u00e9<\/a> ses clients contre de nouvelles attaques de credential stuffing.<\/p>\n

Comment d\u00e9tecter le bourrage d’identifiants ?<\/h2>\n

Malheureusement, il est difficile de d\u00e9tecter le bourrage d’identifiants. Ces attaques sont g\u00e9n\u00e9ralement lanc\u00e9es par des r\u00e9seaux de machines zombies (botnets)<\/a> et d’autres outils automatis\u00e9s qui lancent des requ\u00eates malveillantes d’apparence l\u00e9gitime. Il peut \u00eatre difficile de faire la diff\u00e9rence entre les demandes l\u00e9gitimes et les tentatives d’usurpation d’identit\u00e9. N\u00e9anmoins, l’un des signes r\u00e9v\u00e9lateurs d’une attaque est que vous rencontrez soudainement des difficult\u00e9s pour vous connecter \u00e0 votre compte, m\u00eame si vous \u00eates certain de disposer des informations d’identification appropri\u00e9es.<\/p>\n

Bien que de nombreux sites web vous avertissent en cas de tentative de connexion suspecte, il est recommand\u00e9 de prendre des mesures pr\u00e9ventives. Par exemple, une strat\u00e9gie de gestion pr\u00e9ventive des identifiants<\/a> est plus facile \u00e0 mettre en \u0153uvre et plus rentable que d’essayer de rem\u00e9dier \u00e0 une violation de donn\u00e9es.<\/p>\n

<\/div>\n

Comment \u00e9viter le bourrage d’identifiants ?<\/h2>\n

L’un des moyens les plus efficaces de pr\u00e9venir le bourrage d’identifiants est d’utiliser un mot de passe unique pour chaque compte que vous poss\u00e9dez et utilisez. Envisagez d’utiliser un gestionnaire de mots de passe si vous craignez d’oublier vos mots de passe, et n’\u00e9crivez jamais<\/i> vos mots de passe sur un morceau de papier qui peut \u00eatre facilement vol\u00e9. Adoptez d’autres habitudes saines pour maintenir votre hygi\u00e8ne en mati\u00e8re de cybers\u00e9curit\u00e9 :<\/p>\n