L'année dernière, 30 milliards de tentatives de piratage ont été effectuées par des pirates informatiques qui ont testé en masse des données d'accès non autorisées ou divulguées afin d'envahir les comptes en ligne d'autres personnes, selon un rapport du fournisseur de réseau de diffusion de contenu Akamai.
Dans les attaques automatisées de type « bourrage des identifiants », les attaquants utilisent des robots pour effective des tentatives de connexion en utilisant des identifiants d'accès volés ou renversés appartenant à un compte afin d'accéder à d'autres comptes. Les bots martèlent ainsi les sites avec des tentatives de connexion, jusqu'à ce qu'ils trouvent la bonne combinaison. Comme de vastes dossiers de combinaisons de nom d'utilisateur et de mot de passe sont facilement accessibles et que de nombreuses personnes recyclent leurs informations d'accès sur plusieurs sites, ce type d’attaque reste d’actualité.
Au contraire, comme Akamai le soulignait l'année dernière, 43 % de toutes les demandes de connexion dans le monde étaient malveillantes. Il est inquiétant de constater que ces tentatives ont porté fruit dans entre 0,1 % et 2 % des cas. En cas de succès, l'attaquant est en mesure non seulement de prendre en charge le compte, mais aussi de voler les données personnelles de son propriétaire pour le vol d'identité et les transactions frauduleuses, ainsi que d'exploiter le compte en ligne pour des campagnes de spam, ainsi que d’autres actions malveillantes.
Le nouveau rapport, intitulé The 2019 State of the Internet / Security: Credential Stuffing: Attacks and Economies – Special Media Report (ou L’État de l’Internet 2019 / Sécurité et bourrage d'identifiants: Attaques et économies - Rapport spécial sur les médias), note qu'il existe un certain nombre de tutoriels étape par étape sur des sites tels que YouTube qui aident le spectateur à créer lui-même de telles listes de compilation et à lancer ses propres attaques d'empoignements. Une vidéo en particulier explique notamment comment valider les informations d’identification à l'aide d'un seul des nombreux « programmes de vérification » a été vu plusieurs dizaines de fois.
Les États-Unis, la Russie et le Canada étaient les principaux pays d'origine des attaques. Les États-Unis et le Canada se sont également classés au premier et au troisième rang dans la liste des principales cibles, l'Inde occupant la seconde position.
Des informations percutantes
Un secteur qui doit faire face à des milliards de tentatives d'obtention de titres de compétences chaque année est celui des services de médias et de divertissement. « Les pirates informatiques sont très attirés par la visibilité et la valeur des services de streaming en ligne, » souligne Patrick Sullivan, directeur de la technologie et de la stratégie de sécurité chez Akamai.
Au total, les entreprises de médias, de jeux et de divertissement ont connu 11,6 milliards d'attaques de ce type entre mai et décembre 2018 seulement. Il y a eu plusieurs pics avec jusqu'à 200 millions d'attaques contre des sites dans le seul secteur des médias vidéo. Selon Akamai, les détenteurs de listes de noms d'utilisateur/mot de passe « ont peut-être testé les identifiants avant qu'ils ne soient vendus. »
En même temps, à l'instar d'une version précédente du rapport d'Akamai, les chiffres globaux pourraient sous-estimer l'ampleur du problème dans les secteurs dans lesquels les adresses e-mail ne sont pas utilisées comme l’utilisateur, notamment le secteur financier.
Plus tôt cette année, nous avons fait état de la découverte de cinq caches d'informations d'identification qui circulaient sur Internet et qui contenaient 2,2 milliards d'informations d'identification volées.
Parmi les moyens simples de se protéger contre les attaques de prise de contrôle de compte, citons l'utilisation d'un mot de passe ou d'une phrase de passe complexe et unique pour chacun de vos comptes en ligne, ainsi que l'authentification à 2 facteurs.