Credential stuffing
From Wikipedia, the free encyclopedia
Le credential stuffing est un type de cyberattaque où des informations de comptes volées consistant généralement en des listes d'identifiants et les mots de passe associés (souvent obtenus de manière frauduleuse) sont utilisés pour obtenir un accès non autorisé à des comptes utilisateurs par le biais de demandes de connexion automatisée à grande échelle adressées à des applications Web[1].
Contrairement au cassage de mot de passe, une attaque par credential stuffing ne tente pas de trouver un mot de passe par une attaque par force brute. L'attaquant automatise plutôt des tentatives de connexions en utilisant des milliers ou même des millions de paires d'identifiants / mots de passe précédemment découverts. Pour ce faire, il utilise des outils d'automatisation Web standards comme Selenium, cURL, PhantomJS ou des outils conçus spécifiquement pour ces types d'attaques comme Sentry MBA[2],[3].
Le terme credential stuffing a été créé par Sumit Agarwal, cofondateur de Shape Security. Sumit Agarwal était à l'époque Deputy Assistant Secretary of Defense (en) au Pentagone[4].
Importance du problème
Les attaques par credential stuffing sont considérées comme l'une des principales menaces pour les applications Web et mobiles en raison du volume des divulgations malveillantes de paires d'identifiants / mots de passe. En , plus de 3 milliards de telles paires ont été divulguées à la suite de vols de données[5].
