[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias

2

IntroductionEn 2018, Akamai a enregistré près de 30 milliards d'attaques par

« credential stuffing ». Chaque attaque représentait une tentative par une

personne ou un ordinateur de se connecter à un compte avec un nom

d'utilisateur et un mot de passe volés ou générés. La grande majorité de

ces attaques ont été réalisées par des botnets ou des applications tout-en-

un (AIO).

Les botnets sont des groupes d'ordinateurs chargés d'exécuter diverses

commandes. Ils peuvent recevoir l'instruction de trouver des comptes

vulnérables auxquels des personnes autres que leurs propriétaires

pourraient accéder. Ces attaques sont appelées « piratages de comptes ».

Les applications AIO permettent à un individu d'automatiser le processus

de connexion ou de piratage de compte ; elles constituent des outils

essentiels pour pirater un compte et recueillir des données.

En quoi les entreprises des secteurs des médias, des jeux et du

divertissement sont-elles concernées ? Elles sont affectées à plusieurs

égards. Ces entreprises comptent parmi les cibles privilégiées des

attaques par « credential stuffing ». Les pirates à l'origine de ces attaques

décèlent la valeur d'un compte, qu'il s'agisse d'un site de streaming, d'un

jeu ou du compte d'une personne sur un réseau social. Et ils sont prêts à

tout pour les voler.

Dans ce rapport, nous vous offrons un aperçu des attaques par « credential

stuffing » perpétrées en 2018 contre ces secteurs d’activité et examinons

les risques qu'elles impliquent. Nous explorons également certaines des

méthodes utilisées par les pirates pour mener ces attaques.

Les organisations médiatiques, les entreprises de jeux et l'industrie du divertissement figurent parmi les principales cibles des attaques par « credential stuffing ».

[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias

[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias

3

Attaques par jourEn 2018, Akamai a observé chaque jour des centaines de millions

d'attaques par « credential stuffing ». Ces attaques ciblent de nombreux

secteurs, des médias au divertissement en passant par le commerce de

détail et les jeux. Comme illustré à la Figure 1, trois jours dans l'année

ont culminé à plus de 250 millions de tentatives. Les attaques par

« credential stuffing » gagnent la faveur des criminels à tous les niveaux

de compétence. Alors que les précédents rapports « État des lieux de

l'Internet » analysaient leur impact sur le commerce de détail, cette édition

étudie plus particulièrement les secteurs des médias et du divertissement.

Les criminels ciblent de grandes marques de vidéo et de divertissement,

car l'accès à des comptes vérifiés peut être vendu ou échangé au marché

noir. Si vous avez déjà écouté une chanson ou regardé un film ou une

émission de télévision en ligne, vous connaissez peut-être déjà certains

des comptes que privilégient la plupart des criminels. Les informations

associées à ces comptes ont également de la valeur.

0 M

50 M

100 M

150 M

200 M

250 M

300 MTe

ntat

ives

d'a

ttaq

ues

par

« c

red

entia

l stu

ffing

»

Jan. Fév. Mars Avr. Mai Juin Jui. Août Sep. Oct. Nov. Déc. Jan.

2018

Date: samedi 2 juin 2018Tentatives de connexion :

252 176 323

Date: mercredi 24 octobre 2018Tentatives de connexion :

285 983 922

Date: samedi 27octobre 2018Tentatives de connexion :287 168 120

Tentatives d'attaques par « credential stuffing » par jourEntre le 1er janvier et le 31 décembre 2018

Figure 1

Trois des plus graves

attaques observées

en 2018 sont mises en

évidence, dont deux

qui se sont produites à

quelques jours d'intervalle

[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias

4

Jan. Fév. Mars Avr. Mai Juin Jui. Août Sep. Oct. Nov. Déc. Jan.

2018

0 M

20 M

40 M

60 M

80 M

100 M

120 M

140 M

160 M

180 M

200 M

220 M

Tent

ativ

es d

e vo

l d'id

entifi

ants

Segment de marché : médias vidéoDate: samedi 27 octobre 2018

Tentatives de connexion :196 087 155

Segment de marché : médias vidéoDate: samedi 25 octobre 2018

Tentatives de connexion : 175 981 359

Segment de marché : médias vidéoDate: samedi 2 juin 2018

Tentatives de connexion :133 861 006

Segment de marchéMédias et divertissement

Médias vidéo

Attaques par jour : secteurs des médiasEntre le 1er janvier et le 31 décembre 2018

Figure 2

Trois des plus grandes attaques

par « credential stuffing »

visant le secteur des médias

vidéo en 2018 sont passées

de 133 millions à près de

200 millions de tentatives

[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies Volume 5, édition spéciale sur les médias

Attaques les plus importantes Dans le seul secteur des médias vidéo, trois des plus importantes

attaques par « credential stuffing » en 2018 sont passées de 133 millions

à près de 200 millions de tentatives. Ce point est important, car les dates

des attaques coïncident avec des violations de données connues. Les

vendeurs ont peut-être testé les informations d'identification avant de les

vendre. Au début du mois de février 2019, quelque 620 millions de noms

d'utilisateur, mots de passe et autres dossiers (issus de 16 organisations

ayant divulgué des violations de données) ont été mis en vente sur le

Darknet.

« Credential Stuff ing »Début 2019, vous avez peut-être entendu parler d'un individu anonyme

qui a publié une collection d'adresses e-mail et de mots de passe,

appelés ici « versions 1 à 5 », pour des attaques par « credential stuffing ».

[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias

5

Sur ces cinq versions, cet anonyme a publié près de 1 To de données, soit

plus de 25 milliards de combinaisons d'adresses e-mail et de mots de

passe. Une fois les entrées inutilisables et les doublons supprimés, des

milliards de combinaisons étaient encore disponibles en ligne au moment

de la rédaction de ce rapport.

Les versions 1 à 5 ne sont que des séries de noms d'utilisateur et de mots

de passe de base, bien qu'elles représentent la plus grande collection

jamais commercialisée en une seule instance. Une collection d'une telle

ampleur fait figure d'exception. Cependant, de telles collections sont

créées en fusionnant des listes de combinaisons provenant d'autres

violations de données, y compris les plus notables.

Les attaques par « credential stuffing » représentent un risque majeur

pour les entreprises en ligne. Par conséquent, le fait de disposer d'un

ensemble de plus d'un milliard de combinaisons potentielles facilite

considérablement la tâche pour tout aspirant criminel qui cherche à

profiter de la tendance des attaques par « credential stuffing ». Cependant,

ces listes ne constituent pas la seule façon pour les criminels de collecter

les données dont ils ont besoin pour exécuter ce type d'attaques.

Dans une vidéo YouTube visionnée par des chercheurs d'Akamai, un

individu a guidé les internautes pas à pas dans un didacticiel sur la

création de listes de combinaisons à utiliser sur un jeu de « battle royale »

en ligne très connu.

Figure 3

SNIPR est une AIO peu

coûteuse utilisée pour les

attaques par « credential

stuffing », vendue 20 USD

[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias

6

Le didacticiel commençait par enseigner le concept de « Google Dorking », qui utilise les opérateurs du moteur de recherche de Google pour localiser les sites Web potentiellement vulnérables à l'injection SQL. Une fois les sites Web localisés, le didacticiel expliquait ensuite aux internautes comment exploiter ces domaines vulnérables à l'aide d'un outil d'injection SQL commun. Cet outil télécharge les adresses e-mail et les mots de passe, pirate les mots de passe si nécessaire, génère une liste de combinaisons valides, puis effectue un suivi avec un programme de « vérification » avec des proxys pour tester la validité de ses nouvelles listes.

Ces programmes de vérification, ou applications tout-en-un (AIO), permettent au pirate de valider les informations d'identification volées ou générées. Selon l'application, les AIO peuvent cibler directement les formulaires de connexion, les API, ou encore les deux si la situation l'exige.

Une fois la validité des comptes confirmée, ils peuvent être vendus, échangés ou utilisés pour récupérer différents types d'informations personnelles. En fonction de la situation, il n'est pas rare que les trois se produisent.

Il existe de nombreuses applications tout-en-un en ligne. Certaines sont vendues ouvertement, d'autres sont vendues ou échangées clandestinement. L'une d'entre elles, une application appelée SNIPR, est l'outil d'entrée de gamme de prédilection des personnes qui cherchent à cibler des jeux, des réseaux sociaux et des streamings multimédias.

Une autre AIO appelée STORM utilise des paramètres de configuration détaillés qui sont vendus ou échangés comme tels. Au moment de la rédaction de ce rapport, un vendeur du Darknet faisait la promotion de configurations STORM à utiliser sur l'une des plus grandes plateformes de streaming en ligne pour la somme de 52 USD.

Le même vendeur propose également à prix réduit des codes de cartes cadeaux pour cette plateforme, offrant des cartes d'une valeur de 30 USD pour un montant de seulement 7,80 USD. Ces codes sont parfois générés, mais le plus souvent, ils sont achetés avec des cartes de crédit volées ; autrement dit, les sommes recueillies constituent pour le criminel un profit pur et simple.

Ce même détaillant s'adonne aussi régulièrement à la vente de listes de combinaisons issues d'attaques par « credential stuffing ». Parmi ces listes figure un lot de 5 milliards d'adresses e-mail et de mots de passe aléatoires au prix de 5,20 USD. Une autre liste propose un lot personnalisé de 50 000 adresses e-mail et mots de passe pour le même prix. L'option personnalisée permet à l'acheteur de choisir le format (email:pass ou

user:pass), le fournisseur, l'emplacement, etc.

Vidéos de formation à SNIPR sur

YouTube

Alors qu'ils recherchaient des faits et des données pour ce rapport, les chercheurs d'Akamai ont découvert un certain nombre de vidéos YouTube similaires traitant du « credential stuffing » et des attaques associées. Nous avons été en mesure de confirmer qu'au moins 89 000 personnes ont regardé des vidéos de démonstration et des didacticiels sur l'AIO appelée SNIPR.

Des dizaines de vidéos, couvrant plusieurs versions de SNIPR, expliquent comment utiliser l'application et obtenir le meilleur retour sur investissement des ressources. SNIPR étant un outil d'entrée de gamme, ces didacticiels sont souvent demandés par les utilisateurs de l'outil et créés par les développeurs ou d'autres utilisateurs.

[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias

7

Une économie en plein essorLe marché des comptes multimédias et de divertissement volés est florissant.

Les secteurs du multimédia, des jeux et du divertissement sont des cibles privilégiées pour les criminels qui cherchent à échanger des informations et des accès volés. Les comptes sont vendus en gros et l'objectif des criminels est de vendre leurs marchandises par volume, plutôt que par compte unique.

De nombreux comptes compromis par des attaques de type « credential stuffing » se vendront pour seulement 3,25 USD. Ces comptes sont couverts par une garantie : si les identifiants ne fonctionnent pas une fois vendus, ils peuvent être remplacés gratuitement. Ce service est proposé par les vendeurs pour encourager les achats répétés. Il a été créé parce que les marques sont de plus en plus promptes à détecter les comptes compromis et à les désactiver.

Alors, comment les attaques par « credential stuffing » se traduisent-elles en comptes volés qui sont ensuite vendus sur un marché illégal ? En bref : par partage de mot de passe.

Les tentatives d'attaques par « credential stuffing » peuvent évoluer vers des piratages de comptes en règle, car les utilisateurs ont tendance à utiliser le même mot de passe sur plusieurs sites Web, ou à utiliser des mots de passe faciles à deviner qui ont généré des informations d'identification.

Figure 4

Principales sources

d'attaques triées par

pays. Les États-Unis

demeurent la principale

source des attaques par

« credential stuffing »

PAYS SOURCENOMBRE DE CONNEXIONS DE

COMPTES PIRATÉS

États-Unis 4 016 181 582

Russie 2 509 810 095

Canada 1 498 554 065

Vietnam 626 028 826

Inde 625 476 485

Brésil 585 805 408

Malaisie 369 345 043

Indonésie 367 090 420

Allemagne 354 489 922

Chine 308 827 351

Principales sources d'attaques

[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias

8

Par conséquent, une violation de données sur un site Web ou une publication

massive de combinaisons connues de noms d'utilisateur et de mots de passe

(comme les versions 1 à 5) peut se traduire par une exposition de l'intégralité

de la vie digitale d'une personne. Dès lors, chaque information associée à

cette personne peut être emballée et vendue.

Comme on pouvait s'y attendre, les États-Unis sont en tête de la liste

des pays d'où sont commises des attaques par « credential stuffing ».

Cela est dû au fait que la plupart des outils courants de « credential

stuffing » y sont développés. La Russie arrive en deuxième position,

suivie du Canada. En outre, les États-Unis représentent la cible d'attaque

numéro un, car de nombreuses cibles populaires y sont implantées.

On retrouve en deuxième et troisième positions l'Inde et le Canada, avec

un volume qui demeure cependant largement éclipsé par celui des États-

Unis.

Figure 5

Les principales cibles

d'attaques triées par pays.

Les États-Unis restent

la première cible des

attaques par « credential

stuffing »

PAYS CIBLESNOMBRE DE CONNEXIONS DE

COMPTES PIRATÉS

États-Unis 12 522 943 520

Inde 1 208 749 669

Canada 1 025 445 535

Allemagne 760 722 969

Australie 104 655 154

Corée 37 112 529

Chine 26 173 541

Gibraltar 6 559 360

Pays-Bas 4 991 790

Japon 3 424 334

Italie 2 601 632

France 1 864 733

Hong Kong 1 305 262

Principales cibles d'attaques

« Les États-Unis représentent la cible d'attaque numéro un. »

[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias

9

L'avenirL'impact que peuvent avoir les criminels de « credential stuffing » sur les

entreprises est considérable. Les listes de combinaisons telles que celles

publiées de manière anonyme en début d'année ne représentent que la

partie émergée de l'iceberg. Lorsqu'une attaque par « credential stuffing »

aboutit, la réputation de la marque en pâtit (même si elle n'en est pas

responsable) et cette dernière fait face à des coûts opérationnels accrus

dus à une augmentation des coûts de réponse à l'incident, de paie, de

communication de crise et d'autres dépenses connexes.

En février 2019, un service fiscal en ligne bien connu a envoyé des

notifications de violation à certains clients. La lettre de notification

expliquait clairement qu'il s'agissait d'une attaque par « credential

stuffing », car tous les comptes à risque utilisaient des mots de passe

exposés par des violations de données survenues ailleurs. Le service fiscal

a réinitialisé les mots de passe pour empêcher tout accès supplémentaire

et en a averti ses clients. Même si le fournisseur de services fiscaux n'était

manifestement pas fautif, les clients en ont pensé autrement et la réaction

du public à la nouvelle a été loin d'être positive.

Un partenariat avec un fournisseur de solutions robustes pour aider à

détecter et à arrêter les attaques par « credential stuffing » est l'option

évidente pour se défendre contre de telles menaces. Mais il n'est pas si

simple d'y faire face. Les organisations doivent s'assurer qu'une solution

défensive est adaptée à leurs affaires, car les criminels ajusteront leurs

attaques en conséquence afin d'éviter les configurations prêtes à l'emploi

et les mesures préventives de base.

Et pourtant, le problème ne se limite pas à un seul fournisseur ou à un

seul ensemble de produits. Les utilisateurs doivent être informés des

attaques par « credential stuffing », d'hameçonnage et des autres risques

qui menacent les informations de leur compte. Les marques devraient

rappeler aux clients l'importance d'utiliser des mots de passe et des

gestionnaires de mots de passe uniques, et leur souligner la valeur

de l'authentification multifactorielle. Lorsqu'ils discutent des piratages

de compte et des scripts AIO, les criminels se plaignent souvent de

l'utilisation de l'authentification multifactorielle, qui est une méthode

particulièrement efficace pour arrêter la plupart de leurs attaques.

Le renforcement constant de ces solutions, géré de la même manière que

tout programme de sensibilisation, a fonctionné pour les entreprises du

secteur financier et du jeu.

« Lorsqu'une attaque par « credential stuffing » aboutit, la réputation de la marque en pâtit (même si elle n'en est pas responsable)... »

[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias

10

MéthodologiesDans le cadre de ce rapport, les tentatives d'attaque par « credential

stuffing » sont définies comme des tentatives de connexion infructueuses

pour les comptes utilisant une adresse e-mail comme nom d'utilisateur.

Pour identifier les tentatives de vols d'identifiants, par opposition aux

utilisateurs réels qui ne peuvent pas taper, deux algorithmes différents

sont utilisés. Le premier est une simple règle volumétrique qui compte le

nombre d'erreurs de connexion à une adresse spécifique. Cela diffère de

ce qu'une seule organisation pourrait être capable de détecter, car Akamai

met en corrélation les données de centaines d'organisations.

Le deuxième algorithme utilise les données de nos services de détection

des bots pour identifier les attaques par « credential stuffing » à partir

de botnets et d'outils connus. Un botnet bien configuré peut éviter la

détection volumétrique en répartissant le trafic entre de nombreuses

cibles, en utilisant un grand nombre de systèmes dans son analyse ou en

répartissant le trafic dans le temps, pour ne citer que quelques contre-

mesures.

Les recherches sur les outils et les tactiques des botnets de « credential

stuffing » ont été effectuées manuellement, à l'aide d'une grande variété

de recherches sur le Web et d'intelligence humaine.

[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias

11

Sources

Contributeurs au rapport État des lieux d'Internet / Sécurité

Shane Keats, Director of Global Industry Marketing, Media and Entertainment — Recherche YouTube

Steve Ragan, Researcher, Sr. Technical Writer — Étude des marchés du Darknet

Martin McKeay, Editorial Director — Données et analyse des attaques par « credential stuffing »

Équipe éditoriale

Martin McKeay, Editorial Director

Amanda Fakhreddine, Sr. Technical Writer, Managing Editor

Steve Ragan, Sr. Technical Writer, Editor

Gestion des programmes

Georgina Morales Hampe, Project Manager — Création

Murali Venukumar, Program Manager — Marketing

Akamai sécurise et fournit des expériences digitales pour les plus grandes entreprises du monde. L'Akamai Intelligent Edge Platform englobe tout, de l'entreprise au cloud, afin d'offrir rapidité, agilité et sécurité à ses clients et à leurs entreprises. Les plus grandes marques mondiales comptent sur Akamai pour les aider à concrétiser leur avantage concurrentiel grâce à des solutions agiles qui développent la puissance de leurs architectures multi-cloud. Akamai place les décisions, les applications et les expériences au plus près des utilisateurs, et au plus loin des attaques et des menaces. Les solutions de sécurité en périphérie, de performances Web et mobiles, d'accès professionnel et de diffusion vidéo du portefeuille d'Akamai s'appuient également sur un service client exceptionnel, des analyses et une surveillance 24 h/24, 7 j/7, 365 jours par an. Pour savoir pourquoi les plus grandes marques mondiales font confiance à Akamai, visitez www.akamai.com, blogs.akamai.com ou @Akamai sur Twitter. Vous trouverez nos coordonnées dans le monde entier à l'adresse www.akamai.com/locations. Publication : 04/19.