Guide à l'usage des entreprises en cas d'attaques par saturation des données d'identification
Introduction
Pratiquement tous les sites web et toutes les applications utilisent des mots de passe pour authentifier leurs utilisateurs. Les utilisateurs, contraints de gérer un nombre toujours croissant de comptes en ligne, ont tendance à réutiliser les mêmes mots de passe sur plusieurs services en ligne. Malheureusement, l'utilisation et la réutilisation généralisées des mots de passe en ont fait des cibles attrayantes pour les cybercriminels, qui savent que les mots de passe volés à une entreprise peuvent fournir les clés d'une multitude de comptes dans une autre.
Selon une étude récente, plus de 15 milliards d'informations d'identification volées circulent sur Internet.1 Cette énorme cache d'informations d'identification a entraîné une augmentation spectaculaire des attaques de type "credential-stuffing" (bourrage d'informations d'identification). L'opérateur d'un grand réseau de diffusion de contenu a indiqué qu'il avait été témoin de plus de 193 milliards d'attaques de ce type en 2020.2
Ces attaques sont extraordinairement coûteuses pour les entreprises et les consommateurs. Le rapport Cost of Credential Stuffing de l'Institut Ponemon a révélé que les entreprises perdent en moyenne 6 millions de dollars par an à cause du bourrage d'informations d'identification, sous la forme de temps d'arrêt des applications, de perte de clients et d'augmentation des coûts informatiques.3 Face à cette menace croissante, le Bureau du procureur général de l'État de New York (OAG) a lancé une enquête afin d'identifier les entreprises et les consommateurs concernés par le credential stuffing. Over the course of this investigation, the OAG was able to review and evaluate the effectiveness of a wide range of safeguards against credential stuffing. L'objectif de ce document est de partager certains des enseignements tirés, y compris des conseils concrets aux entreprises sur les mesures qu'elles peuvent, et doivent, prendre pour mieux se protéger contre les attaques par masquage de données d'identification.4
A. Qu'est-ce que le bourrage de crédits ?
Le "Credential stuffing" est un type de cyberattaque qui implique généralement des tentatives répétées de connexion à des comptes en ligne à l'aide de noms d'utilisateur et de mots de passe volés à d'autres services en ligne. Il tire parti de la tendance naturelle de l'homme à réutiliser les mots de passe pour faire face au nombre toujours croissant de comptes en ligne à gérer. Les attaquants savent que le nom d'utilisateur et le mot de passe utilisés sur un site web peuvent également être utilisés sur une demi-douzaine d'autres.
Contrairement à de nombreux autres types de cyberattaques, les attaques de type "credential-stuffing" nécessitent souvent peu de connaissances techniques pour être mises en place. Les attaquants utilisent généralement des logiciels gratuits et facilement accessibles, capables de transmettre des centaines de tentatives de connexion simultanément sans intervention humaine. Un seul attaquant peut facilement envoyer des centaines de milliers, voire des millions, de tentatives de connexion à un seul service web.
Bien que la plupart des tentatives de connexion dans le cadre d'une attaque par saturation des informations d'identification échouent, une seule attaque peut néanmoins entraîner la compromission de milliers de comptes en raison du volume même des tentatives. Les attaquants disposent de plusieurs moyens pour monnayer ces comptes compromis. Ils peuvent, par exemple, effectuer des achats frauduleux en utilisant la carte de crédit enregistrée du client, voler et vendre une carte-cadeau que le client a enregistrée sur le compte, utiliser les données du client volées sur le compte dans le cadre d'une attaque par hameçonnage, ou simplement vendre les identifiants de connexion à un autre individu sur le dark web.
B. Notre enquête
Pendant plusieurs mois, l'OAG a surveillé plusieurs communautés en ligne consacrées à la falsification de documents d'identité. L'OAG a trouvé des milliers de messages contenant des identifiants de connexion qui avaient été testés dans des attaques de bourrage d'identifiants sur un site web ou une application et confirmés comme permettant d'accéder à un compte client. Les membres de ces communautés étaient libres d'utiliser ces informations d'identification validées pour s'introduire eux-mêmes dans les comptes des clients, ou de les utiliser pour leurs propres attaques de bourrage d'informations d'identification sur les sites web et les applications d'autres entreprises.
Après avoir examiné des milliers de messages, l'OAG a compilé les identifiants de connexion des comptes clients de 17 entreprises bien connues, parmi lesquelles des détaillants en ligne, des chaînes de restaurants et des services de livraison de nourriture. Au total, le BVG a recueilli les informations d'identification de plus de 1,1 million de comptes clients, qui semblaient tous avoir été compromis par des attaques de bourrage d'informations d'identification.
L'OAG a contacté chacune des 17 entreprises pour leur signaler les comptes compromis. L'OAG a également demandé aux entreprises d'enquêter et de prendre des mesures pour protéger les clients concernés. Toutes les entreprises l'ont fait.
L'OAG a également travaillé avec les entreprises pour déterminer comment les attaquants avaient contourné les mesures de protection existantes, et a conseillé les entreprises sur les mesures qu'elles pouvaient prendre pour améliorer leurs programmes de sécurité des données et mieux protéger les comptes clients contre le bourrage de crédence. Au cours de l'enquête du BVG, presque toutes les entreprises ont introduit, ou présenté des plans pour introduire, des mesures de protection supplémentaires.
Protéger les clients contre les attaques par saturation des données d'identification
Les attaques par masquage d'identité sont devenues si fréquentes qu'elles sont inévitables pour la plupart des entreprises. Toute entreprise qui gère des comptes en ligne pour ses clients doit donc disposer d'un programme de sécurité des données comprenant des mesures de protection efficaces pour protéger les clients contre les attaques par usurpation d'identité dans chacun de ces quatre domaines :
- se défendre contre les attaques de type "credential-stuffing" (bourrage d'informations d'identification)
- détecter une brèche dans les données d'identification
- prévenir la fraude et l'utilisation abusive des informations relatives aux clients
- réagir à un incident de falsification de documents d'identité
Dans les sections suivantes, le BVG présente les garanties spécifiques qui ont été jugées efficaces dans chacun de ces domaines. Cette liste n'est pas exhaustive, mais met en évidence les mesures de protection qui peuvent s'appliquer à un large éventail d'entreprises. Cependant, toutes les mesures de protection ne conviennent pas à toutes les entreprises. Les entreprises doivent évaluer les mesures de protection à mettre en œuvre dans le cadre de leurs propres activités, en tenant compte de facteurs tels que la taille et la complexité de l'entreprise, le volume et la sensibilité des informations sur les clients qu'elle conserve, le risque et l'ampleur du préjudice, ainsi que les logiciels et les systèmes déjà utilisés.
Il est important de noter que l'efficacité des mesures de protection identifiées ci-dessous évoluera probablement au fil du temps, les attaquants adoptant de nouvelles tactiques. Les entreprises doivent évaluer régulièrement l'efficacité de leurs propres contrôles et mettre en place de nouvelles mesures de protection, le cas échéant.
A. Se défendre contre une attaque par saturation des données d'identification
Toute entreprise doit mettre en place des mesures de protection efficaces contre l'accès non autorisé aux comptes clients par le biais d'attaques de type "credential-stuffing". Pour de nombreuses entreprises, cela nécessitera la mise en œuvre d'une protection technique efficace, comme un logiciel de détection des robots ou une authentification multifactorielle, ainsi que des mesures de protection fondamentales, telles qu'un pare-feu d'application web.
Les garanties les plus efficaces
- Détection de bot
Les attaques par bourrage d'identifiants impliquent généralement des dizaines ou des centaines de milliers de tentatives de connexion générées par des logiciels automatisés, ou "bots". L'un des contrôles les plus efficaces pour atténuer ce type d'attaque est un système de détection des bots, c'est-à-dire un logiciel spécialement conçu pour identifier et bloquer le trafic Internet généré par les bots. Les systèmes efficaces de détection des robots peuvent faire la distinction entre le trafic humain et le trafic des robots, même lorsque le trafic des robots a été déguisé, par exemple en passant par plusieurs adresses IP ou identifiants d'appareils.
Bien que les systèmes de détection des bots puissent être développés en interne, de nombreuses entreprises font appel à des services tiers pour la détection et l'atténuation des bots. L'un des avantages d'un service tiers est qu'il peut opérer sur des centaines de sites web et d'applications, donnant accès à une grande quantité de données qui peuvent aider à révéler des schémas de robots qui ne seraient pas apparents pour un opérateur de site web unique.
La détection des robots peut s'avérer très efficace pour atténuer les attaques par saturation des données d'identification. Une chaîne de restaurants a signalé à l'OAG que son fournisseur de services de détection des robots avait bloqué plus de 271 millions de tentatives de connexion sur une période de 17 mois. Une autre entreprise contactée par le BVG a vu plus de 40 millions de tentatives de connexion bloquées sur une période de deux mois. De telles réussites ont probablement contribué à la popularité des systèmes de détection des robots : 12 des entreprises contactées par le BVG ont mis en œuvre ou envisagent de mettre en œuvre un système de détection des robots.
Les systèmes CAPTCHA, qui adoptent une approche différente pour distinguer les humains des robots, peuvent ne pas être aussi efficaces que d'autres technologies de détection des robots. Les logiciels sont devenus habiles à résoudre de nombreux types de défis CAPTCHA sans intervention humaine. En outre, les défis CAPTCHA peuvent être relevés par de véritables humains dans des fermes CAPTCHA, généralement situées à l'étranger.
- Authentification multifactorielle
L'authentification multifactorielle, également connue sous le nom de MFA, est une autre mesure de protection efficace contre les attaques par saturation des données d'identification. L'AMF exige qu'un utilisateur présente au moins deux types d'informations d'identification pour pouvoir se connecter à son compte. Les références doivent provenir de deux (ou plus) des catégories suivantes :
1. quelque chose que l'utilisateur connaît (comme un mot de passe)
2. quelque chose que l'utilisateur possède (comme un téléphone portable)
3. quelque chose que l'utilisateur est (comme une empreinte digitale).
La plupart des attaquants qui ont accès à un mot de passe volé n'ont pas accès à d'autres types de données d'identification.
Bien que l'AMF ait été historiquement utilisée par les organisations qui conservent des informations très sensibles, telles que les institutions financières, elle a été plus largement adoptée au cours des dernières années. Six des entreprises contactées par le BVG utilisent ou prévoient d'utiliser l'AMF.
Les entreprises mettent souvent en œuvre un deuxième facteur par le biais de l'un des trois mécanismes suivants :
1. une clé de sécurité physique
2. une application authentique
3. les courriels ou les SMS contenant un code ou un lien à usage unique.
Les clés de sécurité physiques et les applications d'authentification sont souvent des méthodes d'authentification plus sûres, car des techniques telles que l'échange de cartes SIM et l'ingénierie sociale peuvent permettre à des attaquants déterminés de voler un code envoyé par message texte ou par courrier électronique. Lors du choix du mécanisme à mettre en œuvre, les entreprises doivent évaluer le risque de préjudice lié à une connexion non autorisée par rapport à la complexité et à la facilité d'utilisation du système d'AMF.
- Authentification sans mot de passe
L'authentification sans mot de passe est, comme son nom l'indique, une méthode d'authentification des utilisateurs qui ne repose pas sur un mot de passe. Au lieu de cela, les utilisateurs sont authentifiés à l'aide d'un autre type de facteur d'authentification, soit "quelque chose que l'utilisateur a", soit "quelque chose que l'utilisateur est". Comme pour le MFA, les implémentations les plus courantes utilisent une application d'authentification, un code d'authentification à usage unique envoyé par SMS ou par e-mail, ou un lien envoyé par e-mail.
Bien que l'authentification sans mot de passe n'ait pas encore été largement adoptée, elle a gagné du terrain ces dernières années. L'une des entreprises contactées par le BVG utilise l'authentification sans mot de passe.
Autres sauvegardes
- Pare-feu pour applications web
La plupart des entreprises devraient utiliser un pare-feu d'application web (WAF) comme première ligne de défense contre le trafic malveillant. Les WAFs peuvent inclure une variété de fonctionnalités capables d'atténuer les attaques d'applications web de base. Cependant, les attaques sophistiquées de " credential stuffing " sont souvent capables de contourner la plupart des mesures de sécurité du WAF. Plusieurs caractéristiques communes des WAF sont identifiées ci-dessous. - Limitation du débit : Dans la plupart des cas, les entreprises doivent bloquer ou limiter le trafic de tout utilisateur qui a tenté de se connecter à plusieurs comptes clients en succession rapide. Ce type de limitation de débit est un contrôle peu coûteux et peut être efficace contre les attaques de base. 5
- Analyse des requêtes HTTP : La plupart des WAF analysent les informations d'en-tête et autres métadonnées des requêtes entrantes afin d'identifier le trafic susceptible d'être malveillant. Les entreprises devraient envisager de mettre en œuvre l'analyse des requêtes HTTP et évaluer si le blocage ou l'étranglement des requêtes présentant les caractéristiques suivantes serait efficace pour bloquer le trafic malveillant :
- les demandes utilisant des adresses IP ou provenant de réseaux identifiés comme malveillants.
- les demandes qui proviennent d'une zone géographique située en dehors de la base de clientèle
- les demandes provenant de fournisseurs de serveurs privés virtuels, tels qu'Amazon Web Services ou des centres de données commerciaux.
- les demandes émanant de navigateurs sans tête ou de navigateurs dépourvus de moteurs d'exécution JavaScript, ou présentant d'autres attributs propres aux outils courants de bourrage d'informations d'identification
- Liste noire d'adresses IP : Certaines entreprises tiennent une liste des adresses IP qui ont récemment fait l'objet d'attaques et bloquent ou restreignent le trafic associé à ces adresses IP. Les entreprises peuvent également s'abonner à des flux de renseignements sur les menaces proposés par des tiers pour alimenter les listes noires d'adresses IP.
- Empêcher la réutilisation de mots de passe compromis
Les entreprises peuvent empêcher les pirates d'accéder au moins à certains comptes clients en empêchant les clients de réutiliser des mots de passe qui ont déjà été compromis. Cette fonctionnalité repose généralement sur des fournisseurs tiers qui compilent les informations d'identification provenant de violations de données connues. Lorsqu'un client choisit un mot de passe, celui-ci est comparé aux mots de passe de la bibliothèque de données volées ; si le mot de passe correspond, le client est invité à choisir un autre mot de passe.
Conseil pratique :
Lors d'une récente enquête sur une violation de données, le BVG a découvert des preuves que plus de 140 000 comptes de clients avaient été compromis lors d'attaques par vol d'informations d'identification contre une entreprise qui utilisait l'authentification multifactorielle. Comment les attaquants ont-ils contourné l'AMF ? Ils ne l'ont pas fait. L'OAG a constaté que la fonctionnalité de l'AMF avait été mise en œuvre de manière incorrecte, ce qui l'a rendue inefficace.
Comme pour toute mesure de protection, les entreprises doivent veiller à ce que la mise en œuvre de l'AMF fasse l'objet de tests approfondis et d'un suivi de son efficacité.
B. Détection d'une brèche dans les données d'identification
Dans la course aux armements sans fin contre les attaquants, aucune mesure de protection n'est efficace à 100 %. Chaque entreprise devrait donc disposer d'un moyen efficace de détecter les attaques par saturation des données d'identification qui ont contourné d'autres mesures de protection et compromis les comptes des clients. Dans la plupart des cas, cela nécessitera un suivi systématique du trafic des clients. D'autres garanties peuvent compléter le contrôle en utilisant différentes sources d'information.
Conseil pratique :
Plusieurs des entreprises contactées par l'OAG n'avaient pas détecté les attaques par bourrage d'identifiants qui avaient compromis les comptes de leurs clients.
Les attaques par masquage d'identité sont inévitables. Si votre entreprise n'a pas connaissance d'attaques de type "credential-stuffing" qui ont ciblé les comptes de vos clients, il y a de fortes chances que votre surveillance soit inadéquate.
La mesure de protection la plus efficace
- Suivi de l'activité des clients
La plupart des attaques de type "credential-stuffing" peuvent être identifiées grâce aux empreintes qu'elles laissent sur le trafic des clients. Les attaques se manifestent souvent par des pics de trafic ou des tentatives de connexion infructueuses. Même les attaques sophistiquées de type "credential-stuffing" ont des signatures d'attaque qui peuvent être identifiées grâce à l'analyse de l'activité des clients. La plupart des entreprises devraient donc mettre en place des processus pour surveiller systématiquement le trafic des clients.
Dans la plupart des cas, le contrôle devrait être au moins partiellement automatisé afin de fournir des mesures cohérentes et comparables et d'assurer une surveillance permanente. Cette automatisation peut consister en un processus logiciel qui s'exécute en arrière-plan et alerte le personnel concerné si un certain seuil est atteint : par exemple, lorsque le nombre de tentatives de connexion infructueuses au cours d'une certaine période dépasse un seuil prédéfini. Dans d'autres cas, des techniques de surveillance plus sophistiquées seront appropriées.
Les WAF et les services tiers de détection des bots peuvent fournir des capacités de surveillance efficaces ainsi que des outils qui peuvent aider une entreprise à examiner le trafic de ses clients.
Autres mesures de protection
Dans la plupart des cas, les mesures de protection ci-dessous ne suffiront pas à elles seules à constituer un moyen efficace de détecter les attaques réussies. Toutefois, ils peuvent compléter efficacement d'autres contrôles de sécurité, tels que la surveillance systématique.
- Suivi des rapports de fraude des clients
Les signalements de fraudes et d'accès non autorisés par les clients peuvent indiquer que leurs comptes ont été la cible d'une attaque par saturation des données d'identification. Par exemple, les attaques peuvent se refléter dans le volume de demandes d'assistance à la clientèle qu'une entreprise reçoit. Des tendances dans ce que les clients signalent - par exemple, des plaintes répétées de clients concernant des soldes de cartes cadeaux volés ou des commandes non autorisées passées à une adresse non reconnue - peuvent également indiquer desattaques réussies de bourrage d'informations d'identification6.
Les entreprises devraient envisager de contrôler systématiquement les rapports de fraude et d'accès non autorisé des clients pour y déceler des preuves d'attaques. Il peut s'agir, par exemple, d'un examen régulier du volume des cas de fraude dans le temps afin d'identifier des pics ou d'autres schémas. Les entreprises devraient également mettre en place des canaux de communication clairs entre le service clientèle et le personnel chargé de la sécurité de l'information afin de détecter et d'arrêter le plus rapidement possible les attaques de type "credential stuffing" (falsification de données d'identification).
- Avis d'activité du compte
Informer les clients d'une activité inhabituelle ou importante sur leur compte peut avoir plusieurs objectifs. L'avis donne au client la possibilité de vérifier si son compte n'a pas fait l'objet d'achats ou d'activités non autorisés. Si le client détermine que l'activité n'était pas autorisée, il peut signaler cette activité non autorisée à l'entreprise. L'entreprise peut alors prendre des mesures pour protéger le compte du client et utiliser le rapport pour déterminer si l'activité non autorisée faisait partie d'une attaque plus large affectant d'autres clients.
Les entreprises doivent identifier les éléments déclencheurs appropriés pour l'envoi des notifications. Dans de nombreux cas, un client doit être alerté lorsque son compte a été consulté à partir d'un appareil non reconnu ou d'un nouvel emplacement. Dans certains cas, il peut également être approprié d'informer les clients lorsque des changements importants ont été apportés à leurs comptes, tels qu'un changement de mot de passe ou d'adresse postale.
Un faible volume de fraudes signalées par les clients n'est pas un indicateur fiable qu'il n'y a pas eu de bourrage de cartes d'identité. Certains attaquants monétisent les comptes compromis sans attirer l'attention des clients.
- Renseignements sur les menaces
Après une attaque réussie, les pirates partagent ou vendent souvent les données des comptes clients qu'ils ont volées ou les identifiants de connexion des clients qu'ils ont validés. De nombreuses entreprises tierces spécialisées dans le renseignement sur les menaces proposent des services qui surveillent les canaux de messagerie en ligne et les forums pour détecter les signes de compromission des informations d'identification ou des comptes d'une entreprise. Quatre des entreprises contactées par l'OAG ont indiqué qu'elles faisaient appel à une société de renseignement sur les menaces pour surveiller l'internet à la recherche de signes indiquant que les comptes des clients ont été compromis.
Conseil pratique :
Une tactique utilisée par les attaquants dans plusieurs des entreprises contactées par l'OAG illustre l'importance de sécuriser chaque méthode de paiement.
Dans ces entreprises, les commandes passées à une nouvelle adresse nécessiteraient une nouvelle authentification si le client payait à l'aide d'une carte de crédit stockée, mais pas s'il utilisait un crédit magasin. L'OAG a découvert que les attaquants ayant obtenu l'accès à un compte client passaient d'abord une commande à une adresse existante en utilisant la carte de crédit enregistrée du client. Les attaquants annulent alors immédiatement la commande, obtiennent un remboursement en crédit magasin, et passent une nouvelle commande à une nouvelle adresse en utilisant le crédit magasin qui vient d'être émis, sans procéder à une nouvelle autorisation.
C. Prévention de la fraude et de l'utilisation abusive des informations relatives aux clients
Toute entreprise devrait disposer de mesures de protection efficaces pour empêcher un pirate ayant accès à un compte client d'effectuer un achat frauduleux en utilisant les informations de paiement stockées ou de voler les fonds du client.
La mesure de protection la plus efficace
- Ré-authentification au moment de l'achat
L'une des mesures de protection les plus efficaces pour empêcher les pirates d'utiliser frauduleusement les informations de paiement stockées par les clients est la réauthentification au moment de l'achat. Pour certaines méthodes de paiement, comme les cartes de crédit, les entreprises réauthentifient généralement les informations de paiement stockées. Par exemple, les commerçants en ligne demandent souvent aux clients de saisir à nouveau le numéro de la carte de crédit ou le code CVV lorsqu'une commande est passée à une nouvelle adresse à l'aide d'une carte de crédit enregistrée.
Pour les autres méthodes de paiement, y compris les cartes-cadeaux, les crédits de magasin et les points de fidélité, les entreprises réauthentifient souvent le client. Par exemple, une chaîne de restaurants envoie à ses clients un code d'authentification lorsqu'un client utilise ses points de fidélité pour passer une commande dans un magasin qu'il n'a pas encore visité. Le client doit ensuite saisir le code d'authentification pour terminer la commande. Il est essentiel que les entreprises exigent une réauthentification pour chaque méthode de paiement qu'elles acceptent. L'OAG a constaté, cas après cas, que les attaquants étaient en mesure d'exploiter les lacunes des protections des commerçants contre la fraude en effectuant un achat à l'aide d'une méthode de paiement qui ne nécessitait pas de réauthentification.
Les entreprises doivent également identifier les déclencheurs appropriés pour la réauthentification. Comme indiqué plus haut, de nombreux commerçants qui expédient ou livrent des marchandises exigent une nouvelle authentification lorsqu'un client indique une nouvelle adresse. Toutefois, ce déclencheur ne conviendra pas à toutes les entreprises et à toutes les situations. Par exemple, une chaîne de restaurants qui permet à ses clients de venir chercher leur repas peut exiger une nouvelle authentification lorsqu'une commande est passée à un restaurant que le client n'a jamais visité auparavant.
Autres garanties
- Détection des fraudes par des tiers
Certaines entreprises utilisent des services tiers pour identifier les transactions suspectes ou frauduleuses. Ces services de détection de la fraude fonctionnent généralement en analysant les données relatives aux clients et aux transactions pour y déceler des signes indiquant qu'un achat n'est pas autorisé. Bien que ces services puissent identifier et bloquer certains achats frauduleux, ils ne sont généralement pas aussi efficaces pour limiter la fraude que les approches basées sur la réauthentification. En outre, nombre de ces services ne peuvent analyser que les transactions par carte de crédit et ne peuvent être déployés avec d'autres méthodes de paiement.
- Atténuation de l'ingénierie sociale
Dans certaines circonstances, les attaquants peuvent contourner des mesures de protection autrement efficaces en manipulant ou en trompant les représentants du service clientèle à l'aide d'une technique connue sous le nom d'ingénierie sociale. Dans l'un des exemples découverts par le BVG, les attaquants ont pu contourner à plusieurs reprises l'AMF d'un détaillant en ligne en convainquant le personnel du service clientèle d'envoyer un code d'authentification par l'intermédiaire d'un chat d'assistance en ligne, au lieu d'un courrier électronique. Les attaquants ont utilisé le code d'authentification pour passer des commandes à une nouvelle adresse de livraison en utilisant les informations de carte de crédit stockées par le client. Dans un autre exemple, les pirates ont contourné la réauthentification normalement requise pour la livraison à une nouvelle adresse en appelant le service clientèle et en demandant la livraison à une nouvelle adresse après avoir effectué un achat.
La plupart des entreprises devraient élaborer des politiques qui anticipent les attaques d'ingénierie sociale et former le personnel concerné à ces politiques. Dans les exemples décrits ci-dessus, des politiques interdisant au personnel du service clientèle de divulguer les codes d'authentification via le chat en ligne ou de réacheminer les commandes sans réauthentification auraient probablement permis d'atténuer les transactions frauduleuses. Les entreprises peuvent tester l'efficacité de ces politiques et de cette formation en simulant des attaques d'ingénierie sociale.
- Prévention du vol de cartes-cadeaux
Les cartes à valeur stockée de marque, également appelées cartes-cadeaux, peuvent constituer une cible attrayante pour les pirates. Contrairement aux cartes de crédit, les cartes-cadeaux ne sont pas inextricablement liées à un client particulier, de sorte qu'elles peuvent souvent être utilisées par la personne qui les détient. En outre, certains détaillants autorisent le transfert direct de cartes-cadeaux, ou de leur solde, d'un compte client à un autre. En outre, les entreprises ont toujours utilisé des mesures plus faibles pour sécuriser les cartes-cadeaux, permettant leur transfert et leur utilisation sans ré-authentifier le client ou tenter de déterminer si la transaction est frauduleuse. En conséquence, les pirates ont pu vendre les cartes-cadeaux volées ou les soldes de cartes-cadeaux sur le dark web, ou même sur des sites web légitimes qui revendent des cartes-cadeaux.
Les entreprises doivent veiller à mettre en place des mesures de protection raisonnables pour empêcher le vol des cartes à valeur stockée et des fonds qui y sont associés. Plus important encore, le transfert de cartes-cadeaux entre comptes clients et le transfert de fonds entre cartes-cadeaux devraient être limités ou nécessiter une nouvelle authentification. En outre, les entreprises devraient obscurcir les numéros de cartes-cadeaux en n'affichant, par exemple, que les quatre derniers chiffres du numéro de la carte-cadeau, à l'instar d'un numéro de carte de crédit.
Conseil pratique :
Lors d'une récente enquête sur une violation de données, le BVG a constaté que les ingénieurs d'une société bien connue n'avaient pas enquêté sur une série d'attaques par masquage de données d'identification après avoir supposé qu'il s'agissait simplement d'attaques par déni de service (DoS).
Les entreprises doivent veiller à ce que le personnel approprié soit formé pour reconnaître les signes d'une attaque par masquage de données d'identification.
D. Réponse aux incidents
Chaque entreprise devrait disposer d'un plan écrit de réponse aux incidents comprenant des procédures de réponse aux attaques par masquage de données d'identification. Ces processus doivent comprendre, au minimum, l'investigation, la remédiation et la notification.7
- Enquête
Lorsqu'une entreprise a des raisons de penser que des comptes clients ont été visés par une attaque, elle doit mener une enquête en temps utile. L'enquête doit être conçue pour déterminer, au minimum, si les comptes des clients ont été consultés sans autorisation et, dans l'affirmative, quels comptes ont été affectés, et comment les attaquants ont pu contourner les mesures de protection existantes.
Un contrôle efficace peut réduire considérablement le temps et les ressources nécessaires à une enquête. Par exemple, certaines technologies de détection des robots peuvent être configurées pour permettre l'identification rapide des comptes clients qui ont été affectés par une attaque.
- Assainissement
Lorsqu'une entreprise a déterminé que des comptes clients ont été accédés sans autorisation, ou qu'il est raisonnablement probable qu'ils l'aient été, elle doit agir rapidement pour empêcher les attaquants de continuer à accéder à ces comptes. Dans la plupart des cas, cela nécessite de réinitialiser immédiatement les mots de passe des comptes susceptibles d'avoir été affectés par les attaques. Dans certains cas, il peut également être approprié de geler les comptes concernés.
Dans certaines situations, il peut être impossible pour une entreprise de déterminer avec certitude si les attaquants ont accédé à certains comptes ou à certaines données. Dans ce cas, l'entreprise doit considérer comme compromis tout compte ou toute donnée dont on peut raisonnablement penser qu'ils ont été compromis.
L'entreprise doit également prendre des mesures pour se défendre contre des attaques similaires à l'avenir en comblant les lacunes des mesures de protection existantes que les attaquants ont exploitées pour accéder aux comptes des clients.
- Notifier les clients
Dans la plupart des cas, les entreprises doivent rapidement informer chaque client dont le compte a été consulté sans autorisation, ou dont on peut raisonnablement penser qu'il l'a été. L'avis permet aux clients de prendre des mesures pour se protéger, par exemple en vérifiant si leurs comptes en ligne et leurs comptes financiers associés ne sont pas frauduleux et en sécurisant d'autres comptes en ligne qui utilisent les mêmes identifiants de connexion compromis.
La notification doit transmettre de manière claire et précise les informations matérielles concernant l'attaque qui sont raisonnablement individualisées pour le client.8 Cela nécessiterait, au minimum, de divulguer si le compte d'un client particulier a été consulté sans autorisation et, plus généralement, le moment de l'attaque, les informations sur le client qui ont été consultées et les mesures qui ont été prises pour protéger le client.
Dans certains cas, il peut être opportun de contacter les clients avant la fin de l'enquête. Dans ces cas, l'entreprise doit indiquer que l'enquête est en cours et, le cas échéant, que certaines conclusions sont provisoires et peuvent être modifiées au fur et à mesure de l'obtention d'informations complémentaires.
Conclusion
La croissance explosive du credential stuffing ne montre aucun signe de ralentissement, alimentée par le nombre toujours croissant d'identifiants volés à la disposition des attaquants. Cependant, les entreprises peuvent réduire de manière significative les risques de credential stuffing pour leurs activités et leurs clients en maintenant un programme complet de sécurité des données avec la bonne combinaison de mesures de cybersécurité.
1 Digital Shadows, From Exposure to Takeover : Les 15 milliards d'identifiants volés permettant la prise de contrôle de comptes (2020), https://resources. digitalshadows.com/whitepapers-and-reports/from-exposure-to-takeover
2 Akamai, Phishing for Finance (mai 2021), https://www.akamai.com/content/dam/site/en/documents/state-of-the-internet/soti-securityphishing- for-finance-report-2021.pdf
3 Ponemon Institute, The Cost of Credential Stuffing (2017)
4 Ce guide n'est pas destiné à remplacer les lois ou réglementations fédérales ou étatiques existantes concernant la sécurité des données.
5 Les attaquants qui déguisent la source d'une tentative de connexion, par exemple en passant par plusieurs adresses IP de proxy, peuvent souvent échapper aux contrôles de limitation de débit.
6 Un faible volume de fraudes signalées par les clients n'est pas un indicateur fiable qu'il n'y a pas eu de bourrage de crédence. Certains attaquants monétisent les comptes compromis sans attirer l'attention des clients.
7 Ce document ne se veut pas un guide complet de la réponse aux incidents et ne couvre que les aspects de la réponse aux incidents qui sont propres aux attaques par bourrage de crédence.
8 Dans certaines circonstances, la législation fédérale et étatique existante peut imposer la méthode, le contenu et le moment de la notification. Ce guide doit être interprété d'une manière conforme à ces lois.