État des lieux d'internet / sécurité | attaques sur le ... · visant le secteur des médias...
TRANSCRIPT
[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias
2
IntroductionEn 2018, Akamai a enregistré près de 30 milliards d'attaques par
« credential stuffing ». Chaque attaque représentait une tentative par une
personne ou un ordinateur de se connecter à un compte avec un nom
d'utilisateur et un mot de passe volés ou générés. La grande majorité de
ces attaques ont été réalisées par des botnets ou des applications tout-en-
un (AIO).
Les botnets sont des groupes d'ordinateurs chargés d'exécuter diverses
commandes. Ils peuvent recevoir l'instruction de trouver des comptes
vulnérables auxquels des personnes autres que leurs propriétaires
pourraient accéder. Ces attaques sont appelées « piratages de comptes ».
Les applications AIO permettent à un individu d'automatiser le processus
de connexion ou de piratage de compte ; elles constituent des outils
essentiels pour pirater un compte et recueillir des données.
En quoi les entreprises des secteurs des médias, des jeux et du
divertissement sont-elles concernées ? Elles sont affectées à plusieurs
égards. Ces entreprises comptent parmi les cibles privilégiées des
attaques par « credential stuffing ». Les pirates à l'origine de ces attaques
décèlent la valeur d'un compte, qu'il s'agisse d'un site de streaming, d'un
jeu ou du compte d'une personne sur un réseau social. Et ils sont prêts à
tout pour les voler.
Dans ce rapport, nous vous offrons un aperçu des attaques par « credential
stuffing » perpétrées en 2018 contre ces secteurs d’activité et examinons
les risques qu'elles impliquent. Nous explorons également certaines des
méthodes utilisées par les pirates pour mener ces attaques.
Les organisations médiatiques, les entreprises de jeux et l'industrie du divertissement figurent parmi les principales cibles des attaques par « credential stuffing ».
[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias
[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias
3
Attaques par jourEn 2018, Akamai a observé chaque jour des centaines de millions
d'attaques par « credential stuffing ». Ces attaques ciblent de nombreux
secteurs, des médias au divertissement en passant par le commerce de
détail et les jeux. Comme illustré à la Figure 1, trois jours dans l'année
ont culminé à plus de 250 millions de tentatives. Les attaques par
« credential stuffing » gagnent la faveur des criminels à tous les niveaux
de compétence. Alors que les précédents rapports « État des lieux de
l'Internet » analysaient leur impact sur le commerce de détail, cette édition
étudie plus particulièrement les secteurs des médias et du divertissement.
Les criminels ciblent de grandes marques de vidéo et de divertissement,
car l'accès à des comptes vérifiés peut être vendu ou échangé au marché
noir. Si vous avez déjà écouté une chanson ou regardé un film ou une
émission de télévision en ligne, vous connaissez peut-être déjà certains
des comptes que privilégient la plupart des criminels. Les informations
associées à ces comptes ont également de la valeur.
0 M
50 M
100 M
150 M
200 M
250 M
300 MTe
ntat
ives
d'a
ttaq
ues
par
« c
red
entia
l stu
ffing
»
Jan. Fév. Mars Avr. Mai Juin Jui. Août Sep. Oct. Nov. Déc. Jan.
2018
Date: samedi 2 juin 2018Tentatives de connexion :
252 176 323
Date: mercredi 24 octobre 2018Tentatives de connexion :
285 983 922
Date: samedi 27octobre 2018Tentatives de connexion :287 168 120
Tentatives d'attaques par « credential stuffing » par jourEntre le 1er janvier et le 31 décembre 2018
Figure 1
Trois des plus graves
attaques observées
en 2018 sont mises en
évidence, dont deux
qui se sont produites à
quelques jours d'intervalle
[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias
4
Jan. Fév. Mars Avr. Mai Juin Jui. Août Sep. Oct. Nov. Déc. Jan.
2018
0 M
20 M
40 M
60 M
80 M
100 M
120 M
140 M
160 M
180 M
200 M
220 M
Tent
ativ
es d
e vo
l d'id
entifi
ants
Segment de marché : médias vidéoDate: samedi 27 octobre 2018
Tentatives de connexion :196 087 155
Segment de marché : médias vidéoDate: samedi 25 octobre 2018
Tentatives de connexion : 175 981 359
Segment de marché : médias vidéoDate: samedi 2 juin 2018
Tentatives de connexion :133 861 006
Segment de marchéMédias et divertissement
Médias vidéo
Attaques par jour : secteurs des médiasEntre le 1er janvier et le 31 décembre 2018
Figure 2
Trois des plus grandes attaques
par « credential stuffing »
visant le secteur des médias
vidéo en 2018 sont passées
de 133 millions à près de
200 millions de tentatives
[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies Volume 5, édition spéciale sur les médias
Attaques les plus importantes Dans le seul secteur des médias vidéo, trois des plus importantes
attaques par « credential stuffing » en 2018 sont passées de 133 millions
à près de 200 millions de tentatives. Ce point est important, car les dates
des attaques coïncident avec des violations de données connues. Les
vendeurs ont peut-être testé les informations d'identification avant de les
vendre. Au début du mois de février 2019, quelque 620 millions de noms
d'utilisateur, mots de passe et autres dossiers (issus de 16 organisations
ayant divulgué des violations de données) ont été mis en vente sur le
Darknet.
« Credential Stuff ing »Début 2019, vous avez peut-être entendu parler d'un individu anonyme
qui a publié une collection d'adresses e-mail et de mots de passe,
appelés ici « versions 1 à 5 », pour des attaques par « credential stuffing ».
[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias
5
Sur ces cinq versions, cet anonyme a publié près de 1 To de données, soit
plus de 25 milliards de combinaisons d'adresses e-mail et de mots de
passe. Une fois les entrées inutilisables et les doublons supprimés, des
milliards de combinaisons étaient encore disponibles en ligne au moment
de la rédaction de ce rapport.
Les versions 1 à 5 ne sont que des séries de noms d'utilisateur et de mots
de passe de base, bien qu'elles représentent la plus grande collection
jamais commercialisée en une seule instance. Une collection d'une telle
ampleur fait figure d'exception. Cependant, de telles collections sont
créées en fusionnant des listes de combinaisons provenant d'autres
violations de données, y compris les plus notables.
Les attaques par « credential stuffing » représentent un risque majeur
pour les entreprises en ligne. Par conséquent, le fait de disposer d'un
ensemble de plus d'un milliard de combinaisons potentielles facilite
considérablement la tâche pour tout aspirant criminel qui cherche à
profiter de la tendance des attaques par « credential stuffing ». Cependant,
ces listes ne constituent pas la seule façon pour les criminels de collecter
les données dont ils ont besoin pour exécuter ce type d'attaques.
Dans une vidéo YouTube visionnée par des chercheurs d'Akamai, un
individu a guidé les internautes pas à pas dans un didacticiel sur la
création de listes de combinaisons à utiliser sur un jeu de « battle royale »
en ligne très connu.
Figure 3
SNIPR est une AIO peu
coûteuse utilisée pour les
attaques par « credential
stuffing », vendue 20 USD
[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias
6
Le didacticiel commençait par enseigner le concept de « Google Dorking », qui utilise les opérateurs du moteur de recherche de Google pour localiser les sites Web potentiellement vulnérables à l'injection SQL. Une fois les sites Web localisés, le didacticiel expliquait ensuite aux internautes comment exploiter ces domaines vulnérables à l'aide d'un outil d'injection SQL commun. Cet outil télécharge les adresses e-mail et les mots de passe, pirate les mots de passe si nécessaire, génère une liste de combinaisons valides, puis effectue un suivi avec un programme de « vérification » avec des proxys pour tester la validité de ses nouvelles listes.
Ces programmes de vérification, ou applications tout-en-un (AIO), permettent au pirate de valider les informations d'identification volées ou générées. Selon l'application, les AIO peuvent cibler directement les formulaires de connexion, les API, ou encore les deux si la situation l'exige.
Une fois la validité des comptes confirmée, ils peuvent être vendus, échangés ou utilisés pour récupérer différents types d'informations personnelles. En fonction de la situation, il n'est pas rare que les trois se produisent.
Il existe de nombreuses applications tout-en-un en ligne. Certaines sont vendues ouvertement, d'autres sont vendues ou échangées clandestinement. L'une d'entre elles, une application appelée SNIPR, est l'outil d'entrée de gamme de prédilection des personnes qui cherchent à cibler des jeux, des réseaux sociaux et des streamings multimédias.
Une autre AIO appelée STORM utilise des paramètres de configuration détaillés qui sont vendus ou échangés comme tels. Au moment de la rédaction de ce rapport, un vendeur du Darknet faisait la promotion de configurations STORM à utiliser sur l'une des plus grandes plateformes de streaming en ligne pour la somme de 52 USD.
Le même vendeur propose également à prix réduit des codes de cartes cadeaux pour cette plateforme, offrant des cartes d'une valeur de 30 USD pour un montant de seulement 7,80 USD. Ces codes sont parfois générés, mais le plus souvent, ils sont achetés avec des cartes de crédit volées ; autrement dit, les sommes recueillies constituent pour le criminel un profit pur et simple.
Ce même détaillant s'adonne aussi régulièrement à la vente de listes de combinaisons issues d'attaques par « credential stuffing ». Parmi ces listes figure un lot de 5 milliards d'adresses e-mail et de mots de passe aléatoires au prix de 5,20 USD. Une autre liste propose un lot personnalisé de 50 000 adresses e-mail et mots de passe pour le même prix. L'option personnalisée permet à l'acheteur de choisir le format (email:pass ou
user:pass), le fournisseur, l'emplacement, etc.
Vidéos de formation à SNIPR sur
YouTube
Alors qu'ils recherchaient des faits et des données pour ce rapport, les chercheurs d'Akamai ont découvert un certain nombre de vidéos YouTube similaires traitant du « credential stuffing » et des attaques associées. Nous avons été en mesure de confirmer qu'au moins 89 000 personnes ont regardé des vidéos de démonstration et des didacticiels sur l'AIO appelée SNIPR.
Des dizaines de vidéos, couvrant plusieurs versions de SNIPR, expliquent comment utiliser l'application et obtenir le meilleur retour sur investissement des ressources. SNIPR étant un outil d'entrée de gamme, ces didacticiels sont souvent demandés par les utilisateurs de l'outil et créés par les développeurs ou d'autres utilisateurs.
[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias
7
Une économie en plein essorLe marché des comptes multimédias et de divertissement volés est florissant.
Les secteurs du multimédia, des jeux et du divertissement sont des cibles privilégiées pour les criminels qui cherchent à échanger des informations et des accès volés. Les comptes sont vendus en gros et l'objectif des criminels est de vendre leurs marchandises par volume, plutôt que par compte unique.
De nombreux comptes compromis par des attaques de type « credential stuffing » se vendront pour seulement 3,25 USD. Ces comptes sont couverts par une garantie : si les identifiants ne fonctionnent pas une fois vendus, ils peuvent être remplacés gratuitement. Ce service est proposé par les vendeurs pour encourager les achats répétés. Il a été créé parce que les marques sont de plus en plus promptes à détecter les comptes compromis et à les désactiver.
Alors, comment les attaques par « credential stuffing » se traduisent-elles en comptes volés qui sont ensuite vendus sur un marché illégal ? En bref : par partage de mot de passe.
Les tentatives d'attaques par « credential stuffing » peuvent évoluer vers des piratages de comptes en règle, car les utilisateurs ont tendance à utiliser le même mot de passe sur plusieurs sites Web, ou à utiliser des mots de passe faciles à deviner qui ont généré des informations d'identification.
Figure 4
Principales sources
d'attaques triées par
pays. Les États-Unis
demeurent la principale
source des attaques par
« credential stuffing »
PAYS SOURCENOMBRE DE CONNEXIONS DE
COMPTES PIRATÉS
États-Unis 4 016 181 582
Russie 2 509 810 095
Canada 1 498 554 065
Vietnam 626 028 826
Inde 625 476 485
Brésil 585 805 408
Malaisie 369 345 043
Indonésie 367 090 420
Allemagne 354 489 922
Chine 308 827 351
Principales sources d'attaques
[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias
8
Par conséquent, une violation de données sur un site Web ou une publication
massive de combinaisons connues de noms d'utilisateur et de mots de passe
(comme les versions 1 à 5) peut se traduire par une exposition de l'intégralité
de la vie digitale d'une personne. Dès lors, chaque information associée à
cette personne peut être emballée et vendue.
Comme on pouvait s'y attendre, les États-Unis sont en tête de la liste
des pays d'où sont commises des attaques par « credential stuffing ».
Cela est dû au fait que la plupart des outils courants de « credential
stuffing » y sont développés. La Russie arrive en deuxième position,
suivie du Canada. En outre, les États-Unis représentent la cible d'attaque
numéro un, car de nombreuses cibles populaires y sont implantées.
On retrouve en deuxième et troisième positions l'Inde et le Canada, avec
un volume qui demeure cependant largement éclipsé par celui des États-
Unis.
Figure 5
Les principales cibles
d'attaques triées par pays.
Les États-Unis restent
la première cible des
attaques par « credential
stuffing »
PAYS CIBLESNOMBRE DE CONNEXIONS DE
COMPTES PIRATÉS
États-Unis 12 522 943 520
Inde 1 208 749 669
Canada 1 025 445 535
Allemagne 760 722 969
Australie 104 655 154
Corée 37 112 529
Chine 26 173 541
Gibraltar 6 559 360
Pays-Bas 4 991 790
Japon 3 424 334
Italie 2 601 632
France 1 864 733
Hong Kong 1 305 262
Principales cibles d'attaques
« Les États-Unis représentent la cible d'attaque numéro un. »
[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias
9
L'avenirL'impact que peuvent avoir les criminels de « credential stuffing » sur les
entreprises est considérable. Les listes de combinaisons telles que celles
publiées de manière anonyme en début d'année ne représentent que la
partie émergée de l'iceberg. Lorsqu'une attaque par « credential stuffing »
aboutit, la réputation de la marque en pâtit (même si elle n'en est pas
responsable) et cette dernière fait face à des coûts opérationnels accrus
dus à une augmentation des coûts de réponse à l'incident, de paie, de
communication de crise et d'autres dépenses connexes.
En février 2019, un service fiscal en ligne bien connu a envoyé des
notifications de violation à certains clients. La lettre de notification
expliquait clairement qu'il s'agissait d'une attaque par « credential
stuffing », car tous les comptes à risque utilisaient des mots de passe
exposés par des violations de données survenues ailleurs. Le service fiscal
a réinitialisé les mots de passe pour empêcher tout accès supplémentaire
et en a averti ses clients. Même si le fournisseur de services fiscaux n'était
manifestement pas fautif, les clients en ont pensé autrement et la réaction
du public à la nouvelle a été loin d'être positive.
Un partenariat avec un fournisseur de solutions robustes pour aider à
détecter et à arrêter les attaques par « credential stuffing » est l'option
évidente pour se défendre contre de telles menaces. Mais il n'est pas si
simple d'y faire face. Les organisations doivent s'assurer qu'une solution
défensive est adaptée à leurs affaires, car les criminels ajusteront leurs
attaques en conséquence afin d'éviter les configurations prêtes à l'emploi
et les mesures préventives de base.
Et pourtant, le problème ne se limite pas à un seul fournisseur ou à un
seul ensemble de produits. Les utilisateurs doivent être informés des
attaques par « credential stuffing », d'hameçonnage et des autres risques
qui menacent les informations de leur compte. Les marques devraient
rappeler aux clients l'importance d'utiliser des mots de passe et des
gestionnaires de mots de passe uniques, et leur souligner la valeur
de l'authentification multifactorielle. Lorsqu'ils discutent des piratages
de compte et des scripts AIO, les criminels se plaignent souvent de
l'utilisation de l'authentification multifactorielle, qui est une méthode
particulièrement efficace pour arrêter la plupart de leurs attaques.
Le renforcement constant de ces solutions, géré de la même manière que
tout programme de sensibilisation, a fonctionné pour les entreprises du
secteur financier et du jeu.
« Lorsqu'une attaque par « credential stuffing » aboutit, la réputation de la marque en pâtit (même si elle n'en est pas responsable)... »
[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias
10
MéthodologiesDans le cadre de ce rapport, les tentatives d'attaque par « credential
stuffing » sont définies comme des tentatives de connexion infructueuses
pour les comptes utilisant une adresse e-mail comme nom d'utilisateur.
Pour identifier les tentatives de vols d'identifiants, par opposition aux
utilisateurs réels qui ne peuvent pas taper, deux algorithmes différents
sont utilisés. Le premier est une simple règle volumétrique qui compte le
nombre d'erreurs de connexion à une adresse spécifique. Cela diffère de
ce qu'une seule organisation pourrait être capable de détecter, car Akamai
met en corrélation les données de centaines d'organisations.
Le deuxième algorithme utilise les données de nos services de détection
des bots pour identifier les attaques par « credential stuffing » à partir
de botnets et d'outils connus. Un botnet bien configuré peut éviter la
détection volumétrique en répartissant le trafic entre de nombreuses
cibles, en utilisant un grand nombre de systèmes dans son analyse ou en
répartissant le trafic dans le temps, pour ne citer que quelques contre-
mesures.
Les recherches sur les outils et les tactiques des botnets de « credential
stuffing » ont été effectuées manuellement, à l'aide d'une grande variété
de recherches sur le Web et d'intelligence humaine.
[État des lieux d'Internet] / Sécurité « "Credential Stuffing" : attaques et économies » Volume 5, édition spéciale sur les médias
11
Sources
Contributeurs au rapport État des lieux d'Internet / Sécurité
Shane Keats, Director of Global Industry Marketing, Media and Entertainment — Recherche YouTube
Steve Ragan, Researcher, Sr. Technical Writer — Étude des marchés du Darknet
Martin McKeay, Editorial Director — Données et analyse des attaques par « credential stuffing »
Équipe éditoriale
Martin McKeay, Editorial Director
Amanda Fakhreddine, Sr. Technical Writer, Managing Editor
Steve Ragan, Sr. Technical Writer, Editor
Gestion des programmes
Georgina Morales Hampe, Project Manager — Création
Murali Venukumar, Program Manager — Marketing
Akamai sécurise et fournit des expériences digitales pour les plus grandes entreprises du monde. L'Akamai Intelligent Edge Platform englobe tout, de l'entreprise au cloud, afin d'offrir rapidité, agilité et sécurité à ses clients et à leurs entreprises. Les plus grandes marques mondiales comptent sur Akamai pour les aider à concrétiser leur avantage concurrentiel grâce à des solutions agiles qui développent la puissance de leurs architectures multi-cloud. Akamai place les décisions, les applications et les expériences au plus près des utilisateurs, et au plus loin des attaques et des menaces. Les solutions de sécurité en périphérie, de performances Web et mobiles, d'accès professionnel et de diffusion vidéo du portefeuille d'Akamai s'appuient également sur un service client exceptionnel, des analyses et une surveillance 24 h/24, 7 j/7, 365 jours par an. Pour savoir pourquoi les plus grandes marques mondiales font confiance à Akamai, visitez www.akamai.com, blogs.akamai.com ou @Akamai sur Twitter. Vous trouverez nos coordonnées dans le monde entier à l'adresse www.akamai.com/locations. Publication : 04/19.