[2021-01-12] La CNIL (Commission Nationale de l’Informatique et des Libertés) publie le 12 janvier 2021 sa lettre d’information intitulée « violation du trimestre » qui détaille les attaques liées au bourrage d’identifiants ou « credential stuffing » en anglais.
Ce type d’attaque s’effectue en plusieurs phases. L’attaquant :
– récupère des listes d’identifiants et de mots de passe publiées, généralement suite à une violation de données, en partant du principe que les utilisateurs se servent souvent du même mot de passe et du même identifiant (l’adresse courriel) pour différents services ;
– tente une grande quantité de connexions sur des sites souvent peu sécurisés, par l’intermédiaire de robots ;
– arrive à se connecter à ces sites peu sécurisés, qui ont du mal à distinguer un robot d’un véritable utilisateur ;
– change les mots de passe des utilisateurs, qui ne peuvent plus se connecter à leur compte.
Que faire en cas d’attaque ? La CNIL préconise une démarche en 4 étapes.
Première étape : comprendre l’origine de l’attaque et en limiter les effets.
– Organiser une cellule de crise.
– Analyser les journaux d’accès et bloquer les flux suspects.
Deuxième étape : informer les personnes concernées par l’attaque, pour qu’elles puissent prendre les décisions adéquates (changer leurs mots de passe, faire opposition à leur carte bancaire,…).
Troisième étape : documenter la violation, et la notifier à la CNIL.
Quatrième étape : prévenir les futures attaques.
– Utiliser une connexion multifacteurs (par ex. envoi d’un code SMS à usage unique sur le mobile de l’utilisateur au moment de la connexion).
– Instaurer des mesures de sécurité fortes pour les utilisateurs, par exemple un CAPTCHA ou un couple identifiant – mot de passe où l’identifiant n’est pas basé sur l’adresse courriel de l’utilisateur.
Le texte contenant les conseils de la CNIL peut être obtenu en cliquant sur le lien suivant.