NEW YORK – La procureure générale de New York, Letitia James, a annoncé aujourd'hui les résultats d'une enquête approfondie sur le "credential stuffing" qui a découvert plus de 1,1 million de comptes en ligne compromis dans des cyberattaques dans 17 entreprises bien connues. Le procureur général James a publié un "Guide des affaires pour les attaques de bourrage d'informations d'identification" qui détaille les attaques - qui impliquent des tentatives répétées et automatisées d'accéder à des comptes en ligne à l'aide de noms d'utilisateur et de mots de passe volés à d'autres services en ligne - et comment les entreprises peuvent se protéger. Le credential stuffing est rapidement devenu l'un des principaux vecteurs d'attaque en ligne. Pratiquement tous les sites Web et applications utilisent des mots de passe pour authentifier leurs utilisateurs. Malheureusement, les utilisateurs ont tendance à réutiliser les mêmes mots de passe sur plusieurs services en ligne. Cela permet aux cybercriminels d'utiliser des mots de passe volés à une entreprise pour d'autres comptes en ligne. Suite à la découverte des attaques, le Bureau du procureur général (OAG) a alerté les entreprises concernées afin que les mots de passe puissent être réinitialisés et que les consommateurs puissent être avertis. Le guide d'aujourd'hui partage les leçons apprises au cours de l'enquête du BVG, y compris des conseils concrets sur les mesures que les entreprises peuvent prendre pour mieux se protéger contre les attaques de bourrage d'informations d'identification.
"À l'heure actuelle, plus de 15 milliards d'informations d'identification volées circulent sur Internet, car les informations personnelles des utilisateurs sont en danger", a déclaré le procureur général James. « Les entreprises ont la responsabilité de prendre les mesures appropriées pour protéger les comptes en ligne de leurs clients et ce guide présente les mesures de protection essentielles que les entreprises peuvent utiliser dans la lutte contre le credential stuffing. Nous devons faire tout notre possible pour protéger les informations personnelles des consommateurs et leur vie privée.
Qu'est-ce que le credential stuffing ?
Le credential stuffing est un type de cyberattaque qui implique des tentatives de connexion à des comptes en ligne à l'aide d'un nom d'utilisateur et de mots de passe volés à d'autres services en ligne non liés. Il s'appuie sur la pratique répandue de la réutilisation des mots de passe car, il y a de fortes chances qu'un mot de passe utilisé sur un site Web ait également été utilisé sur un autre.
Dans une attaque typique de bourrage d'informations d'identification, un attaquant peut soumettre des centaines de milliers, voire des millions, de tentatives de connexion à l'aide d'un logiciel automatisé de bourrage d'informations d'identification et de listes d'informations d'identification volées téléchargées sur le dark web ou des forums de piratage. Bien que seul un petit pourcentage de ces tentatives réussissent, en raison du volume considérable de tentatives de connexion, une seule attaque peut néanmoins générer des milliers de comptes compromis.
Un attaquant qui parvient à accéder à un compte peut l'utiliser de plusieurs façons. L'attaquant peut, par exemple, afficher des informations personnelles associées au compte, y compris un nom, une adresse et des achats antérieurs, et utiliser ces informations dans une attaque de phishing. Si le compte a une carte de crédit ou une carte-cadeau stockée, l'attaquant peut être en mesure de faire des achats frauduleux. Ou l'attaquant pourrait simplement vendre les identifiants de connexion à une autre personne sur le dark web.
Le credential stuffing est l'une des formes de cyberattaques les plus courantes. L'opérateur d'un grand réseau de diffusion de contenu a signalé avoir été témoin de plus de 193 milliards d'attaques de ce type rien qu'en 2020.
L'enquête du BVG
Compte tenu de la menace croissante de credential stuffing, l'OAG a lancé une enquête pour identifier les entreprises et les consommateurs touchés par ce vecteur d'attaque. Pendant plusieurs mois, le BVG a surveillé plusieurs communautés en ligne dédiées au credential stuffing. L'OAG a trouvé des milliers de publications contenant des informations d'identification de connexion client que les attaquants avaient testées lors d'une attaque de bourrage d'informations d'identification et confirmé qu'elles pouvaient être utilisées pour accéder aux comptes clients sur des sites Web ou sur des applications. À partir de ces publications, le BVG a compilé les informations d'identification des comptes compromis de 17 détaillants en ligne, chaînes de restaurants et services de livraison de nourriture bien connus. Au total, l'OAG a collecté les informations d'identification de plus de 1,1 million de comptes clients, qui semblaient tous avoir été compromis par des attaques de bourrage d'informations d'identification.
Le BVG a alerté chacune des 17 entreprises sur les comptes compromis et a exhorté les entreprises à enquêter et à prendre des mesures immédiates pour protéger les clients concernés. Chaque entreprise l'a fait. Les enquêtes des entreprises ont révélé que la plupart des attaques n'avaient pas été détectées auparavant.
L'OAG a également travaillé avec les entreprises pour déterminer comment les attaquants avaient contourné les protections existantes et fourni des recommandations pour renforcer leurs programmes de sécurité des données afin de mieux sécuriser les comptes clients à l'avenir. Au cours de l'enquête du BVG, presque toutes les entreprises ont mis en place ou ont prévu de mettre en place des mesures de protection supplémentaires.
Les recommandations du BVG
Les attaques par credential stuffing sont devenues si répandues qu'elles sont, pour la plupart des entreprises, inévitables. Chaque entreprise qui gère des comptes clients en ligne doit donc disposer d'un programme de sécurité des données comprenant des mesures de protection efficaces pour protéger les clients contre les attaques de credential stuffing. Des garanties doivent être mises en œuvre dans chacun des quatre domaines suivants :
- Se défendre contre les attaques de credential stuffing,
- Détecter une violation de credential stuffing,
- Prévenir la fraude et l'utilisation abusive des informations client, et
- Répondre aux un incident de credential stuffing.
Le guide du procureur général James présente des mesures de protection spécifiques qui se sont avérées efficaces dans chacun de ces domaines. Voici quelques points saillants du guide :
Cette affaire a été traitée par l'avocat principal chargé de l'application des lois Jordan Adler, le procureur général adjoint Hanna Baek, l'analyste Internet et technologie Joe Graham et l'assistant juridique Richard Borgia, tous membres du Bureau de l'Internet et de la technologie, sous la supervision du chef de bureau adjoint Clark. Russell et le chef de bureau Kim Berger. Le Bureau de l'Internet et de la technologie fait partie de la Division de la justice économique, qui est supervisée par le sous-procureur général en chef Chris D'Angelo et supervisée par la première adjointe Jennifer Levy.