Dans le monde des pirates informatiques, il est de plus en plus courant de rencontrer ce que l'on appelle communément les "pousse-boutons". Ces individus ne sont pas forcément techniques, mais ils sont ingénieux. Pour s’introduire dans vos boîtes électroniques, réseaux sociaux, sites web, et plus largement dans vos vies connectées, ils utilisent des logiciels et des bases de données spécialement conçus pour l’occasion appelées "Combo". Le Service Veille ZATAZ, qui vous protège face à ce type d’agissements, vous explique les outils exploités par ces cybercriminels.
Qu’est-ce que le credential stuffing ?
Le credential stuffing, ou "bourrage d'identifiants", est une technique de cyberattaque aussi vieille que les mots de passe. Rien de nouveau dans cette cyber attaque. Elle consiste à utiliser des noms d’utilisateur et des mots de passe volés lors de fuites de données pour tenter de se connecter à d’autres sites ou services. Nous vous en parlions déjà en avril 2024, avec plusieurs cas dont Boulanger.
Comment fonctionne le credential stuffing ?
Les cybercriminels récupèrent des identifiants volés sur le dark web ou via des bases de données issues de fuites publiques. Le Service Veille ZATAZ vous aide à identifier ces informations pour prendre de vitesse les pirates.
Les cybercriminels utilisent des outils automatisés capables de tester des milliers de combinaisons d’identifiants sur divers sites en un temps record. Si un utilisateur réutilise le même mot de passe sur plusieurs plateformes, les attaquants peuvent aisément accéder à ses comptes.
Pourquoi le credential stuffing est-il efficace ?
Cette méthode repose principalement sur la réutilisation des mots de passe par les utilisateurs. Beaucoup utilisent les mêmes identifiants pour différents services, ce qui facilite la tâche des hackers. Par exemple, si vos identifiants volés sur un site de shopping sont les mêmes que ceux de votre messagerie ou de votre banque, les cybercriminels pourraient avoir accès à tous vos comptes.
Comment contrer le credential stuffing ?
Adoptez une vigilance constante en surveillant les fuites de données.
Utilisez des mots de passe uniques pour chaque service.
Activez l’authentification multifactorielle (MFA) pour renforcer la sécurité de vos comptes.
Les outils des cybercriminels pour le credential stuffing
Pour mener des attaques par credential stuffing, les cybercriminels exploitent des outils automatisés sophistiqués capables de tester rapidement des milliers d’identifiants.
⚠️ Nous déconseillons fortement de télécharger ces outils, que ce soit sur le web ou le dark web. Les outils gratuits sont souvent piégés, et les versions payantes ne garantissent ni sécurité ni confidentialité. De plus, les acquérir finance des groupes mafieux, souvent basés en Russie ou en Asie.
À noter que les professionnels de la cybersécurité utilisent légalement certains outils similaires dans le cadre de tests de pénétration (pentest).
Voici quelques exemples connus de logiciels employés dans des attaques de credential stuffing :
Sentry MBA
Un des outils les plus populaires, permettant de configurer des attaques spécifiques à des sites grâce à des fichiers de configuration appelés "configs". Ces fichiers définissent les interactions avec un site cible, comme les URL de connexion et les paramètres de sécurité.
SNIPR
Un outil apprécié pour son interface simple et sa gestion efficace des proxys, permettant de masquer l’origine des attaques.
OpenBullet
Un logiciel open source conçu pour des tests légaux (comme les pentests), mais détourné par les cybercriminels pour mener des attaques de credential stuffing.
STORM YYaT 2.0
Un outil moins connu mais performant, qui privilégie la rapidité d’exécution pour tester des milliers de combinaisons.
Proxy scrapers
Ces outils collectent des adresses IP proxy pour contourner les limites imposées par les sites (par exemple, un nombre maximal de tentatives de connexion par adresse IP).
Fichiers de configuration : SVB, Anom, LOLi, etc.
Les fichiers comme kiabi.svb, gforce.loli, ou carrefour.anom sont des configurations partagées entre cybercriminels. Il en existe des centaines. Ces fichiers contiennent les instructions spécifiques pour cibler une plateforme (ex. : paramètres de connexion de Kiabi, Carrefour, etc.). Des détails techniques sur les champs de formulaire (nom d’utilisateur, mot de passe, captcha). Des données croisées avec d’autres fuites pour augmenter l’efficacité des attaques. Des proxys pour anonymiser chaque tentative.
Exemple concret :
Un fichier kiabi.svb cible l’ancien site de seconde main de Kiabi, contenant une liste d’identifiants (mails, mots de passe). Les instructions permettent de prioriser les attaques, notamment sur des segments géographiques précis (ex. : clients français). Le pirate récupère un combo (certains fichiers peuvent arborer des millions de possibilités). Il lance son logiciels employés dans des attaques de credential stuffing. Il y installe le fichier combo et n'a plus qu'à cliquer sur le bouton "Go" et attendre de voir des résultats d'accès positifs. Il n'a plus qu'à visiter l'espace ainsi infiltré. Rien de technique, juste profiter de la faiblesse humaine à ne pas vouloir utiliser plusieurs mots de passe.
Découvertes du Service Veille ZATAZ
En deux ans, le Service Veille ZATAZ a identifié plus de 200 outils dédiés exclusivement à des attaques ciblant des entreprises privées ou des entités étatiques françaises.
Protégez-vous dès maintenant :
Surveillez vos données.
Diversifiez vos mots de passe.
Activez la MFA.
Faites confiance à des services de veille comme celui du Service Veille ZATAZ.
Comentários