Les enseignes Kiabi et Showroomprivé ont été la cible d'attaques par « credential stuffing », une technique de piratage qui mise sur la réutilisation des mots de passe par les internautes sur différentes plateformes.
Le début d'année 2025 commence hélas fort pour la cybersécurité, avec deux grandes enseignes françaises du e-commerce qui font face à des cyberattaques sophistiquées. Showroomprivé et Kiabi ont en effet détecté, ces derniers jours, des tentatives d'intrusion massives sur les comptes de leurs clients.
Les hackers ont fait appel à une méthode appelée « credential stuffing ». Cette technique, de plus en plus répandue, exploite une faille bien connue : notre tendance à réutiliser les mêmes identifiants sur différents sites. Nos explications.
Comment le credential stuffing a frappé Kiabi et Showroomprivé
Showroomprivé a été la première victime, avec une série de connexions suspectes détectées entre le 3 et le 6 janvier. L'entreprise a rapidement et bien réagi, en réinitialisant les mots de passe des comptes ciblés pour éviter toute exfiltration de données sensibles. Les équipes de sécurité ont pu identifier et bloquer les comportements suspects avant qu'ils ne causent des dommages significatifs.
Chez Kiabi, l'attaque s'est révélée plus dommageable. Elle touche l'ancien site de vêtements de seconde main de la marque. Selon Clément Domingo, aka SaxX, qui a relayé l'information sur les réseaux sociaux, « des bots informatiques ont testé plusieurs millions de comptes et au final pu accéder à presque 20 000 comptes sur le site de seconde main ».
Des informations personnelles, incluant noms, coordonnées et même des IBAN, ont malheureusement été compromises, et tout cela en faisant du credential stuffing. « Le credential stuffing est une succession de tentatives d'identification sur des comptes en ligne, réseaux sociaux, messagerie ou encore sites de vente », nous éclaire Benoît Grunemwald, expert en cybersécurité chez ESET France.
« Ces essais sont basés sur des listes de combinaisons d'identifiants volées ou devinées », explique-t-il à Clubic. Car oui, les pirates exploitent bien des fuites de données massives antérieures pour constituer des bases de données d'identifiants qu'ils testent ensuite à grande échelle. En soi, cela confirme aussi que Kiabi et Showroomprivé n'ont pas directement été piratées, et que la faute leur est difficilement imputable.
Des solutions existent pour se protéger du credential stuffing
Pour Benoît Grunemwald, les entreprises disposent aujourd'hui d'outils efficaces pour contrer ces attaques. Parmi eux, Benoît nous parle de la mise en place d'« un nombre maximal d’essais dans le cas où le mot de passe est tenté d’être deviné », autrement dit l'instauration d'une limite du nombre de tentatives de connexion, comme première barrière.
L'authentification à multiples facteurs est aussi un rempart crucial, même lorsque les pirates possèdent le mot de passe correct. « Il faut ajouter une authentification multi-facteur, qui agit dès la première tentative, même si l’attaquant connait le mot de passe de sa cible. En effet, un code éphémère est ainsi demandé en plus du mot de passe pour valider l’accès au compte », ajoute notre expert. Il existe aussi la recommandation du mécanisme de connexion sans mot de passe.
Les experts conseillent aux entreprises d'investir dans des systèmes de détection d'activités suspectes. C'est d'ailleurs grâce à de tels dispositifs que Showroomprivé a pu identifier et bloquer rapidement les tentatives d'intrusion, pour limiter les dégâts potentiels.
La vigilance est plus que jamais de mise concernant les fuites de données. Au moindre doute, n'hésitez jamais à changer immédiatement vos mots de passe.
30 décembre 2024 à 09h35
