QU’EST-CE QUE LE CREDENTIAL STUFFING ET COMMENT S’EN PREMUNIR ?

Il y a quelques temps, nous décryptions une sanction prononcée par la formation restreinte de la CNIL à l’encontre d’un responsable du traitement et de son sous-traitant pour ne pas avoir pris les mesures de sécurité suffisantes dans le cadre d’attaques de type credential stuffing. Mais en quoi consistent exactement ces attaques et quelles mesures prendre pour y réagir au mieux et en réduire le risque ?

 

 

CREDENTIAL STUFFING ?

Le credential stuffing (ou bourrage d’identifiants) est un type d’attaque informatique qui consiste à réaliser des tentatives d’authentification massives sur des sites et services web à partir de couples identifiant / mot de passe, le plus souvent par le biais de robots.

Cette catégorie d’attaques est rendue possible par la conjonction de deux facteurs très courants :

  • l’identifiant d’un utilisateur correspond fréquemment à son adresse électronique ; et
  • les utilisateurs se servent souvent des mêmes couples identifiant / mot de passe sur plusieurs sites.

A la suite de violations de données, des centaines de millions de tels couples se retrouvent disponibles sur le dark web. Les couples identifiant / mot de passe peuvent alors être réutilisés pour des tentatives d’authentification et mener à de nouvelles violations de données.

Concrètement, une première violation de données a pour conséquence la disponibilité de couples identifiant / mot de passe sur le dark web, ce qui peut mener à une seconde violation de données par le biais du credential stuffing.

Le credential stuffing se rapproche des attaques par force brute (bruteforce attacks ou credential cracking). L’objectif est le même : accéder à un compte utilisateur de manière frauduleuse. Cependant, la méthode utilisée diffère. Dans le cas des attaques par force brute, des outils automatisés de craquage de mots de passe testent un grand nombre de valeurs différentes à partir de « dictionnaires » ou en utilisant les mots de passe les plus simples. Pour le credential stuffing, les attaquants réutilisent des couples identifiant / mot de passe existants utilisés pour la connexion à d’autres comptes.

Le but de ces attaques est d’accéder aux données protégées des espaces authentifiés, notamment les coordonnées bancaires afin d’effectuer ensuite des transactions frauduleuses.

Les attaquants peuvent également bloquer l’accès des comptes aux utilisateurs légitimes ou encore revendre les données à caractère personnel auxquelles ils auront eu accès sur le dark web.

 

 

REDUIRE LES RISQUES D’ATTAQUES

La mise en place de l’authentification multifactorielle, c’est-à-dire la nécessité pour l’utilisateur de fournir une information en plus de l’identifiant et du mot de passe, qui n’est pas stockée par le site internet visité (envoi d’un code par mail ou sms par exemple), permet de limiter la possibilité d’attaques par credential stuffing.

Par ailleurs, le déploiement d’une solution anti-bot intelligente qui utilise l’apprentissage automatique permet d’identifier et de bloquer les comportements abusifs dus aux robots.

En l’absence d’une telle solution, il est utile de mettre en place l’utilisation de CAPTCHA au moment de l’authentification ou la limitation du nombre de tentatives de connexion provenant de la même adresse IP sur un laps de temps déterminé.

Du côté utilisateur, il est vivement recommandé de ne jamais utiliser le même mot de passe pour s’authentifier sur différents sites internet (et a minima de changer son mot de passe en cas de signalement de violation de données).

 

 

REAGIR EN CAS D’ATTAQUE

En cas d’attaque de ce type, la CNIL recommande d’organiser une cellule de crise afin d’en gérer au mieux les conséquences.

Cette cellule réunit notamment le directeur des systèmes d’information (DSI), le responsable de la sécurité des systèmes d’information (RSSI), la direction des risques, le délégué à la protection des données (DPO) et les prestataires spécialisés dans les systèmes d’information concernés.

La CNIL préconise également d’analyser les journaux d’accès afin de détecter les actions suspectes comme un volume de trafic élevé avec un faible taux de réussite de connexion, une activité en dehors des heures habituelles, des pics de trafic extrêmes ou encore une répartition géographique des adresses IP qui sort de l’ordinaire.

Une telle analyse permettra de déterminer comment contrer au mieux l’attaque, notamment en limitant tout ou partie du volume du trafic en fonction des éléments identifiés comme suspects (adresses IP, identifiants utilisés, etc).

L’envoi d’une alerte aux utilisateurs leur permet de suspendre immédiatement leur compte et de changer leur mot de passe s’ils ne sont pas à l’origine de la connexion.

 

 

DEPOSER PLAINTE

La société qui gère le site victime de l’attaque, mais aussi la personne dont les coordonnées sont « usurpées », peuvent déposer plainte :

 

Pourquoi déposer plainte ?

Parce que c’est utile. Pour Alice Chérif, vice-procureure et encore tout récemment cheffe de la section J3 du Parquet de Paris dédiée à la lutte contre la cybercriminalité (maintenant dirigée par Johanna Brousse), « beaucoup de victimes se disent qu’il est inutile de porter plainte, qu’il n’y aura pas d’enquête parce que le préjudice (…) est faible, et que ça ne sert à rien parce que les pirates informatiques ne sont jamais arrêtés. Mais si, ils sont arrêtés ».

 

Où déposer plainte ?

  • auprès du commissariat ou de la gendarmerie la plus proche ; ou
  • directement auprès du procureur de la République territorialement compétent.

 

Sur quels fondements ?

  • L’atteinte à un système de traitement de données (STAD)

Le credential stuffing peut s’analyser comme une atteinte à un STAD prévue aux articles 323-1 à 323-8 du code pénal (accès ou maintien frauduleux dans un STAD, entrave au bon fonctionnement d’un STAD et extraction de données notamment).

Les sanctions peuvent aller de 2 ans à 5 ans d’emprisonnement et de 60 000 euros à 150 000 euros d’amende en fonction de la ou des qualifications retenues.

Si l’attaque par credential stuffing n’aboutit pas, la tentative peut quand même être caractérisée et peut ainsi fonder une plainte. En effet, en matière d’atteinte aux STAD, la tentative est punie des mêmes peines que l’atteinte elle-même.

 

  • L’usurpation d’identité

L’utilisateur dont l’espace authentifié est violé ou dont les données sont récupérées peut également envisager le dépôt d’une plainte, en se fondant sur l’usurpation d’identité définie comme « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération » (voir article 226-4-1 du code pénal). Ce délit peut être puni jusqu’à 1 an d’emprisonnement et 15 000 euros d’amende. Il se caractérise par le simple fait de se faire passer pour autrui. Le résultat de l’usurpation ne figure pas parmi les éléments constitutifs de l’infraction.

 

  • L’escroquerie

En fonction des faits, l’escroquerie peut également être envisagée. L’article 313-1 du Code pénal définit l’escroquerie comme « le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge ». L’escroquerie, ainsi que la tentative d’escroquerie, sont passibles de 5 ans d’emprisonnement et de 375 000 euros d’amende.

 

 

SIGNALER LE COMPORTEMENT ILLICITE

La plateforme de signalement du gouvernement Pharos permet d’effectuer un signalement de contenu ou de comportement illicites directement en ligne.

 

 

NOTIFIER LA CNIL DE LA VIOLATION DE DONNEES ET, LE CAS ECHEANT, INFORMER LES PERSONNES CONCERNEES

En principe, toute violation entraîne une obligation de notification à l’autorité de contrôle (en France, il s’agit bien entendu de la CNIL). Néanmoins, lorsque le responsable du traitement estime que la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, par exemple dans le cas de la divulgation de données à caractère personnel déjà rendues publiques, il sera dispensé de notification.

Dans le cas contraire, le responsable du traitement doit notifier la violation de données dans les 72 heures après avoir pris connaissance de l’incident. Toute notification au-delà de ce délai devra être accompagnée des motifs du retard.

Qui plus est, dans l’hypothèse où la violation de données entraîne un risque élevé pour les personnes concernées, le responsable du traitement doit les en informer dans les plus brefs délais en application de l’article 34 du RGPD.

Concernant le credential stuffing, et comme vu plus haut, une double violation de données pourrait être caractérisée :

  • celle ayant conduit à la disponibilité des identifiants / mots de passe ;
  • celle pouvant résulter des tentatives d’authentification via ces identifiants / mots de passe et pouvant mener à de nouvelles violations de données.

 

*           *

*

 

Le Pôle « IT, Cybercriminalité & data protection » d’AGIL’IT se tient à votre disposition pour vous accompagner dans la prévention du risque cyber et notamment du Credential Stuffing et en vue d’une mise et/ou d’un maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel.

 

Par AGIL’IT – Pôle ITTélécoms & Data protection

Sylvie JONAS, Avocate associée