Lecredential stuffing est un type decyberattaque où des informations de comptes volées consistant généralement en des listes d'identifiants et lesmots de passe associés (souvent obtenus de manière frauduleuse) sont utilisés pour obtenir un accès non autorisé à descomptes utilisateurs par le biais de demandes de connexion automatisée à grande échelle adressées à des applications Web[1].
Contrairement aucassage de mot de passe, une attaque parcredential stuffing ne tente pas de trouver un mot de passe par uneattaque par force brute. L'attaquant automatise plutôt des tentatives de connexions en utilisant des milliers ou même des millions de paires d'identifiants / mots de passe précédemment découverts. Pour ce faire, il utilise des outils d'automatisation Web standards commeSelenium,cURL,PhantomJS ou des outils conçus spécifiquement pour ces types d'attaques commeSentry MBA[2],[3].
Le termecredential stuffing a été créé par Sumit Agarwal, cofondateur deShape Security. Sumit Agarwal était à l'époqueDeputy Assistant Secretary of Defense (en) auPentagone[4].
Les attaques parcredential stuffing sont considérées comme l'une des principales menaces pour lesapplications Web etmobiles en raison du volume des divulgations malveillantes de paires d'identifiants / mots de passe. En, plus de3 milliards de telles paires ont été divulguées à la suite de vols de données[5].
Le,Superdrug auRoyaume-Uni a été la cible d'une tentative dechantage. Des pirates ont prétendu avoir pénétré sur le site du pharmacien et avoir téléchargé 20 000 identifiants d'utilisateur. Une investigation a montré que les pirates bluffaient et les fausses preuves qu'ils présentaient avaient très probablement été obtenues grâce aucredential stuffing, donc à cause de pratiques de sécurité insuffisantes de la part des clients de Superdrug et non à cause de faiblesses dans la sécurité du système de la compagnie[6],[7].
En - , des attaquants ont eu accès à un répertoireGitHub privé utilisé par des développeurs d'Uber (Uber BV et Uber UK), en utilisant les identifiants et les mots de passe d'employés qui avaient été compromis lors de précédentes cyberattaques. Les pirates ont dit avoir piraté les comptes d'utilisateurs de12 employés à l'aide ducredential stuffing, car les adresses électroniques et les mots de passe de ces employés avaient été réutilisés sur d'autres plates-formes. L'authentification multi ou bifactorielle, bien que disponible, n'avait pas été activée pour les comptes concernés.
Les pirates ont ensuite obtenu l'accès à la base de donnéesAWS de la société et ont ainsi pu accéder aux enregistrements de32 millions d'utilisateurs non américains et de3,7 millions de conducteurs non américains, ainsi qu'à d'autres données contenues dans plus de100 fichiersAmazon S3. Les attaquants ont alerté Uber, exigeant le paiement de 100 000 $ pour supprimer les données. L'entreprise a payé la rançon par l'entremise d'un programmebug bounty, mais n'a pas divulgué l'incident aux parties touchées pendant plus d'un an. Après la découverte de l'infraction, l'entreprise a été condamnée à une amende de 385 000 £ (pouvant être réduite à 308 000 £) par leInformation Commissioner's Office duRoyaume-Uni[8].
