Parmi les cyberattaques enregistrées au cours des dernières années, certaines des plus marquantes se distinguent par leur caractère destructeur et leur simplicité déconcertante.
On imagine souvent que les opérations de cyberattaques de grandes envergures impliquent des méthodes sophistiquées, faites d’algorithmes d’une extrême complexité. Mais en réalité, les plus grandes menaces viennent en général d’un élément plus simple et ô combien plus humain : nos propres identifiants.
Selon la CISA (Cybersecurity and Infrastructure Security Agency), plus de la moitié des attaques menées contre des pouvoirs publics et des infrastructures critiques exploitent des identifiants valides. Les identifiants dérobés sont même à l’origine de 86% des compromissions de sécurité touchant les plateformes et applications web (sites d’e-commerce, services de messagerie électronique, plateformes de stockage dans le cloud, réseaux sociaux, etc.).
Parmi les techniques les plus récurrentes, la technique dite du credential stuffing n’est ni nouvelle ni particulièrement innovante : les attaquants récupèrent des noms d’utilisateurs et des mots de passe volés, puis utilisent des outils automatisés pour les tester sur différents sites web.
Pourquoi cette méthode est-elle efficace ? Parce que nous avons tendance à privilégier la commodité à la sécurité, en réutilisant les mêmes identifiants ad vitam æternam.
S’il est communément admis que la réutilisation des mots de passe pose un risque de sécurité, cela n’empêche pas les utilisateurs de le faire. Selon une étude menée par LastPass, 62% des professionnels utilisent encore le même mot de passe pour se connecter à plusieurs comptes. Le credential stuffing représente donc une véritable aubaine pour les attaquants : une stratégie à la fois simple, attractive et efficace.