Des chercheurs en cybersécurité, assistés par le site VPNMentor, ont découvert une base de données contenant les emails et les mots de passe de 400 000 comptes abonnés au service de streaming musical Spotify. Des données qui ne viennent pas d’une fuite de données. Mais alors, comment les hackers s’y sont-ils pris pour collecter ces données d’identification ?
Afin d’obtenir ces données d’identification, les hackers ont eu recours au “credential stuffing”, qui consiste à collecter des identifiants piratés puis à les appliquer à d’autres comptes, en espérant qu’ils en déverrouilleront d’autres. Un favori chez les hackers.
Matias Woloski, directeur technique et co-fondateur d’Auth0, entreprise spécialiste de la gestion des identités, explique : “L’attaque par “credential stuffing” signifie que les cybercriminels profitent des informations personnelles divulguées lors d’une violation de données, afin de les exploiter massivement sur des sites internet. Cette pratique permet aux attaquants de trouver une multitude de combinaisons d’identifiants que les utilisateurs réemploient, et que les pirates informatiques testent sur des sites afin de pouvoir prendre le contrôle de ces comptes. Leurs procédés sont automatisés, de sorte qu’ils peuvent essayer des milliers d’identifiants simultanément.»
Cette escroquerie est avant tout basée sur les chiffres et les probabilités. “Si 0,01 % d’une liste d’identifiants est réutilisé sur un deuxième site internet, alors le cybercriminel peut prendre le contrôle d’un nombre important de comptes », précise-t-il.
Des menaces de plus en plus présentes à traiter
Les attaques par credential stuffing existent depuis longtemps, remarque-il. “Ce qui est amené à changer, c’est la façon dont nous traitons ces menaces qui seront de plus en plus présentes“, prévient-il, plaidant pour l’adoption des techniques d’atténuation des risques telles que l’authentification multi-facteur (MFA). Une authentification multi-facteur que l’entreprise n’utiliserait que quand elle le jugerait nécessaire. “Par exemple, si vous êtes une entreprise française et que la plupart de vos utilisateurs se trouvent en France ou en Europe, et que vous constatez des pics de trafic importants de connexion en Asie, il est alors souhaitable de demander une vérification supplémentaire. »
En tant que Le gestionnaire d’identifiants et de données de connexion, Auth0 assure qu’actuellement environ 67 % de son volume d’identification est considéré comme suspect, c’est-à-dire qu’il ressemble à une fraude d’application.
Les mots de passe des utilisateurs Spotify concernés ont été réinitialisés depuis par le service suédois, qui compte 3 millions d’utilisateurs français.