Free, SFR, Boulanger, Auchan, Picard, ou encore Truffaut et Direct Assurance, les vols de données explosent ces derniers mois en France. Si chaque cas est bien sûr différent, une tactique semble avoir été privilégiée par les hackers : le « credential stuffing » ou « bourrage d’identifiants. Voici comment ça marche.
Une méthode efficace
Concrètement, les acteurs malveillants vont utiliser des identifiants (noms d’utilisateurs, adresses e-mail, mots de passe…) qui ont été précédemment volés sur un service. Il faut dire que de nombreux utilisateurs reproduisent les mêmes mots de passe sur différentes plateformes, de sorte que cette technique s’avère souvent rentable.
Cette méthode a clairement fait ses preuves, comme l’a expliqué Benoit Grunemwald, le directeur des affaires publiques d’ESET France, à nos confrères de 01Net :
Après une fuite de données, les cybercriminels récupèrent des milliers d’emails et utilisent des programmes automatisés pour les tester sur de multiples sites. Un mot de passe unique réutilisé devient une porte dérobée donnant accès à l’ensemble de votre vie numérique, surtout si cet accès ouvre votre messagerie. Il devient alors possible de réinitialiser des mots de passe aisément.
Bien sûr, les cybercriminels n’effectuent pas ces manœuvres à la main, car cela prendrait trop de temps. Ils automatisent ce processus en recourant à des scripts et des bots qui permettent de tester un très grand nombre de combinaisons et de services en très peu de temps.
01Net cite ainsi notamment l’exemple de la cyberattaque qui a visé Picard récemment. En se servant du Credential Stuffing, les pirates sont parvenus à dérober les données personnelles de 45 000 clients membres du programme de fidélité de l’enseigne. Le même procédé a été utilisé lors de l’intrusion de la Caisse d’Allocations Familiales (CAF) en août dernier.
Comment mieux se protéger ?
Face à ce risque désormais très concret, il convient d’adopter les bons réflexes. Le plus important est de varier vos mots de passe pour éviter de simplifier la tâche des cybercriminels.
Il est clair que cette tâche n’est pas toujours aisée. Pour vous aider, vous pouvez notamment recourir à des gestionnaires de mots de passe. On vous a d’ailleurs concocté un guide qui répertorie les principales offres sur le marché.
Autre option à ne pas négliger : l’authentification à deux facteurs. En effet, dans le cas des attaques par credential stuffing, si vous avez activé cet outil, vous serez immédiatement prévenu de la tentative d’intrusion et pourrez agir en conséquence.
Enfin, et si vous avec des soupçons, n’hésitez pas à vous rendre sur le site HaveIbeenPwned. En renseignant votre e-mail, vous verrez si vos identifiants ont été compromis dans le cadre d’une fuite de données connue.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
