Passer au contenu

Cette tactique pirate explique l’explosion des cyberattaques en France

Les enseignes françaises sont la cible d’une vague de cyberattaques sans précédent. Pour multiplier les intrusions et les vols de données personnelles, les pirates s’appuient sur une tactique criminelle aussi efficace que répandue : le « credential stuffing ».

Depuis quelques semaines, les cyberattaques se sont accélérées en France. Plusieurs enseignes françaises ont été ciblées par des pirates spécialisés dans les vols de données personnelles. C’est le cas de Boulanger, Truffaut, SFR, Free, Picard ou encore Auchan.

À lire aussi : Suite au piratage de Free, une vague « massive » d’arnaques vise les abonnés

Les données personnelles, l’alpha et l’oméga des cyberattaques

Dans la majorité des cas, les pirates volent les données pour gagner de l’argent. Dans cette optique, ils peuvent exiger une rançon, exploiter les informations pour orchestrer des arnaques, ou revendre les données au plus offrant sur des marchés noirs fréquentés par les cybercriminels. Pour les hackers, les données valent donc de l’or.

« Une fois vos données personnelles exposées, il est déjà trop tard. Ces informations sont revendues sur un marché noir secondaire, où elles peuvent être combinées avec d’autres données volées pour mener des attaques encore plus ciblées, le but ultime étant souvent d’obtenir les informations bancaires des victimes », nous explique Bernard Montel, Directeur Technique chez Tenable, soulignant que le « cybercrime est devenu une véritable industrie ».

Pour mettre la main sur ces précieuses informations, les pirates doivent trouver un moyen de pénétrer dans les systèmes informatiques de leurs cibles. Là encore, plusieurs options s’ouvrent à eux. Ils peuvent tenter de s’infiltrer dans le système par le biais d’un tiers, dont la sécurité est défaillante… ou exploiter les informations déjà en leur possession. C’est la solution qui a été privilégiée par les hackers qui ont frappé les géants de la grande distribution française. En fait, plus de 85 % des cyberattaques reposent sur des données compromises en amont, affirme une étude de l’opérateur américain Verizon.

La stratégie criminelle qui fait exploser les vols de données

Derrière une partie des offensives de ces dernières semaines, on trouve une tactique connue sous le nom de « credential stuffing » ou « bourrage d’identifiants » en français. Cette pratique, très répandue dans le milieu criminel, consiste à utiliser des identifiants (noms d’utilisateur et mots de passe) volés sur une plateforme pour tenter d’accéder à d’autres comptes sur des services en ligne.

Trop souvent, les utilisateurs se servent des mêmes identifiants et des mêmes mots de passe pour sécuriser plusieurs comptes, voire l’intégralité de leurs comptes. Une étude de TechRepublic indique que plus de la moitié des internautes se servent du même mot de passe pour sécuriser plusieurs comptes. C’est comme si vous aviez une seule clé pour ouvrir votre maison, votre voiture et votre coffre-fort. Avec une seule clé, le voleur peut tout vous prendre.

« Encore et toujours en cause la mauvaise habitude des gens à utiliser le même mot de passe ou la même base du mot de passe partout ! », souligne le chercheur en sécurité Clément Domingo dans un échange avec 01Net.

Les cybercriminels ont évidemment bien conscience de cette mauvaise habitude. Comme nous l’explique Benoit Grunemwald, le directeur des affaires publiques d’ESET France, les pirates ont l’habitude de recycler les informations compromises pour orchestrer d’autres cyberattaques, de la même manière que vous recyclez vos mots de passe :

« Après une fuite de données, les cybercriminels récupèrent des milliers d’email et utilisent des programmes automatisés pour les tester sur de multiples sites. Un mot de passe unique réutilisé devient une porte dérobée donnant accès à l’ensemble de votre vie numérique, surtout si cet accès ouvre votre messagerie. Il devient alors possible de réinitialiser des mots de passe aisément ».

En fait, les cybercriminels se servent de scripts ou de bots pour tester les identifiants sur d’autres sites. Cela permet d’automatiser les tentatives de connexion à grande échelle. Les tentatives d’accès prennent alors l’allure d’une vague d’attaques.

« C’est devenu très facile pour des cybercriminels de tester automatiquement votre nom d’utilisateur ou mail + le mot de passe sur 5, 6, 10 autres sites sur lesquels vous êtes », relate Clément Domingo.

C’est ce qu’il s’est passé quand Intermarché a été victime d’une « tentative de piratage lors du week-end du 2 et 3 novembre 2024 ». Selon les informations obtenues par le chercheur Clément Domingo, des pirates inconnus ont utilisé des milliers de combinaisons de mots de passe et d’identifiants afin d’accéder à des comptes. La manœuvre a été promptement identifiée et bloquée par les services de sécurité informatique du groupe. Tous les comptes visés ont été temporairement bloqués par Intermarché.

Dans le cas de la cyberattaque contre Picard, survenue peu après, les défenses n’ont pas été aussi efficaces. L’opération, identifiée comme du « credential stuffing », a abouti au vol des données personnelles de 45 000 clients membres du programme de fidélité de l’enseigne. Une attaque de « credential stuffing » était également au cœur de l’intrusion au sein de la Caisse d’Allocations Familiales (CAF) survenue en aout.

C’est en partie pourquoi les fuites de données, et les intrusions, ont explosé à la hausse depuis la rentrée scolaire. Tout porte à croire qu’une base de données quelconque est tombée entre les mains d’un gang de cybercriminels. Ceux-ci se sont mis à tester en masse les paires d’identifiants obtenus sur une floraison de services en ligne. Dans certains cas, les identifiants coïncidaient, ce qui leur a ouvert les portes d’autres plateformes. In fine, ils ont pu siphonner encore plus de données. Et ainsi de suite. Chaque fuite augmente les risques d’autres fuites…

« Les conséquences peuvent être dévastatrices : vol d’identité, usurpations bancaires, accès à des données personnelles sensibles, voire chantage. Les entreprises voient également leurs systèmes d’information potentiellement compromis », rappelle Benoit Grunemwald.

Comment se protéger contre le « credential stuffing » ?

Pour éviter que les hackers violent tous vos comptes avec une seule base de données compromises, il ne faut surtout pas recycler vos mots de passe. Pour Benoit Grunemwald, il est impératif de « diversifier ses mots de passe », et « chaque compte doit avoir une combinaison unique ».

Si vous craignez (légitimement) d’oublier vos mots de passe, passez par un gestionnaire de mots de passe. Ce type de service va recenser l’intégralité de vos codes et identifiants dans une seule et même application. De même, on vous rappellera d’opter pour un mot de passe bien sécurisé, composé d’une succession aléatoire de chiffres, de lettres et de symboles. C’est indispensable dans le contexte actuel.

Enfin, l’expert de chez ESET France rappelle l’importance de l’authentification à deux facteurs. C’est la meilleure des protections supplémentaires à l’heure actuelle… et elle est trop souvent négligée.

Pour mémoire, l’absence de cette couche de protection additionnelle est l’un des facteurs à l’origine d’une des plus importantes attaques de « credential stuffing » de l’année. Il y a quelques mois, des cybercriminels armés d’une montagne d’identifiants compromis sont en effet parvenus à pirater une centaine d’entreprises clientes de Snowflake. L’enquête a démontré que toutes les firmes affectées avaient omis d’activer l’authentification double facteurs en configurant leurs serveurs sur le cloud. De facto, les pirates ont utilisé des données volées à des employés pour pénétrer sans la moindre entrave sur les serveurs. L’intrusion a permis de siphonner une foule d’informations confidentielles.

Alors que les cyberattaques s’enchaînent, on vous recommande de vérifier régulièrement si vos données n’ont pas été compromises. Pour ça, vous pouvez vous rendre sur le site open source HaveIbeenPwned ou passer par le scanner proposé par Google. Si ces outils indiquent que votre mot de passe est compromis, prenez le temps de le changer immédiatement.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.