Cette attaque, qui repose sur le credential stuffing, provient de réseaux proxys résidentiels, à l'insu de leurs utilisateurs, favorisant l'efficacité et l'étendue de l'attaque. Okta recommande plusieurs actions de protection à ses utilisateurs.
« Des millions de demandes », c'est la grande fourchette qu'annonce Okta sur son blog à propos de la dernière cyberattaque par credential stuffing que le principal fournisseur d'identité pour l'entreprise dit avoir subie, entre mars et avril 2024.
Mais ce n'est pas comme si Okta n'était pas abonné aux hacking. En mars 2022, un premier piratage, opéré par le groupe Lapsus$, a profité d'une faille que le groupe avait pourtant corrigée. Et moins de deux ans plus tard, en septembre 2023, c'est une attaque qui ne touche pas seulement 1 % de leurs utilisateurs comme annoncé, mais l'ensemble de ceux ayant contacté le service client qui a lieu.
Le credential stuffing plus efficace que l'attaque par force brute
Pour comprendre ce qui a motivé les hackers, dont on ne connaît pour le moment pas l'identité, si tant est qu'il s'agisse d'un groupe ou de plusieurs loups solitaires, il faut d'abord savoir en quoi consiste une attaque par credential stuffing, souvent comparée à l'attaque par force brute.
Le credential stuffing est une cyberattaque qui utilise des identifiants volés pour accéder à divers comptes. Et comme souvent, hélas, les cyberpirates, très opportunistes, profitent de la tendance des utilisateurs à réutiliser les mêmes mots de passe. Ces attaques automatisées testent les identifiants sur de multiples plateformes, et en masse. Le credential stuffing ne visant pas spécifiquement un compte, il est efficace pour trouver des identifiants et mots de passe valides parmi des millions, la fameuse fourchette annoncée par Okta sur son blog. Cerise sur le gâteau, cette méthode contourne facilement les protections basiques grâce à des réseaux distribués comme les botnets, pour passer sous les radars des outils de sécurité. Certains systèmes peuvent même surpasser des sécurités élémentaires, y compris les CAPTCHA simples.
L'attaque par force brute, au contraire, va essayer de deviner les mots de passe par tâtonnement. Le credential stuffing est donc plus efficace, surtout avec des identifiants qui auront au préalable été compromis. C'est la raison pour laquelle le credential stuffing est en passe de remplacer l'attaque par force brute dans le cœur des hackers
Comment vous protéger des attaques de credential stuffing
Comme bien souvent en matière de recommandations de protection, que ce soit du côté des entreprises ou des particuliers, qui ont chacun des données personnelles et sensibles potentiellement exploitables par les cyberpirates, il faut que le duo que forment le service et son client regarde dans la même direction.
Okta choisit la sensibilisation de ses utilisateurs à l'importance de créer des mots de passe uniques et complexes pour chaque compte, soit au moins 11 caractères, modifiés très régulièrement. Okta, comme les autres entreprises, serait bien inspiré de surveiller les anomalies de connexion ou d'en limiter le nombre sur une période donnée, pour éviter les attaques massives telles que celle subie fin avril 2024.
De son côté, chez Clubic, nous vous recommandons également l'utilisation d'un des gestionnaires de mots de passe que nous avons sélectionnés pour vous faciliter la tâche en vous aidant à générer et stocker des mots de passe robustes. Si vous préférez la méthode manuelle, alors il est vivement conseillé de faire appel à votre imagination pour éviter les mots de passe sensiblement similaires ou variant sur le même thème.
Enfin, n'hésitez pas à ajouter une couche de protection supplémentaire avec l'activation de l'authentification à deux facteurs (2FA), qui exige une preuve supplémentaire d'identité au-delà du simple mot de passe.
Sources : Ars Technica, Okta
