Vos données confidentielles sont
plus vulnérables que jamais

La pratique du « credential stuffing » est en plein essor.

Les sites Web constituent pour votre entreprise une interface directe unique et inestimable avec vos clients. Toutefois, ils exposent également les données sensibles qui peuvent alors facilement être utilisées à des fins malveillantes, au moyen d'outils automatisés appelés bots.

Des recherches de pointe sur la sécurité Web ont montré que le trafic des bots peut représenter jusqu'à 60 % du trafic Web total, mais que seulement 28 % de l'ensemble du trafic des bots est aujourd'hui déclaré.1 Cela comprend aussi bien les bots bienveillants qui sont utilisés pour effectuer des tâches essentielles, comme les indexeurs de moteurs de recherche, que les bots malveillants qui effectuent des activités nuisibles, comme la récupération des tarifs et du contenu. L'une des activités malveillantes les plus dangereuses et coûteuses auxquelles s'adonnent les bots malveillants est le « credential stuffing », une pratique qui touche toutes les entreprises dont le site Web est accessible au moyen d'une page de connexion.

Mais comment différencier les bots bienveillants des bots malveillants ? Comment assurer la sécurité des identifiants de vos visiteurs tout en continuant à promouvoir la réussite de votre site ? Il convient tout d'abord de mieux comprendre comment et pourquoi les bots malveillants accentuent les menaces engendrées par les cybercriminels.

Les bots constituent la menace la plus complexe à gérer pour votre entreprise :

Les bots ont accès à un vaste pool d'adresses IP.

Après une violation de données, les hackers peuvent acheter ou se procurer des listes d'identifiants utilisateur volés pour charger ces identifiants sur un botnet. Avec ces identifiants volés, ces bots peuvent lancer des attaques de tentative de connexion à grande échelle contre des entreprises opérant dans quasiment tous les secteurs d'activité. En fait, ces bots malveillants peuvent exécuter plusieurs centaines de milliers de tentatives de connexion en appliquant la stratégie « many to many », qui consiste à utiliser une multitude de ressources d'attaque pour cibler simultanément un grand nombre d'applications Web.

Les bots sont difficiles à détecter.

Les solutions actuelles de sécurité en ligne ne parviennent pas à détecter les bots malveillants car ils lancent des attaques distribuées sur une période donnée et sont donc perçus comme légitimes. De plus, les hackers disposent désormais des outils nécessaires pour échapper à la détection en interciblant les destinations, en récupérant les jetons utilisateur et en reproduisant le comportement d'un utilisateur normal. Sans oublier qu'une grande partie des attaques ciblent les API mobiles, qui n'offrent pas le même niveau de sécurité que les autres applications Web.

Les bots sont particulièrement persistants dans le temps.

Une fois qu'un hacker a défini un algorithme, il peut utiliser des bots pour cibler facilement plusieurs centaines de milliers d'adresses IP, de jour comme de nuit et pendant des semaines, jusqu'à ce qu'il parvienne à ce qu'on appelle le « credential stuffing ». Ce mode d'attaque est bien souvent efficace, car de nombreux internautes utilisent les mêmes identifiants sur différents sites Web, et un certain pourcentage de ces tentatives d'attaque finissent par aboutir à des connexions.

Pour chaque site Web ciblé, les cybercriminels enregistrent les identifiants qui ont permis d'établir une connexion et peuvent ensuite lancer des actions dévastatrices de piratage de comptes. Aujourd'hui, des bots malveillants sophistiqués peuvent randomiser les adresses IP, les en-têtes et les agents utilisateur, ce qui rend leur protection encore plus difficile.

Une institution financière a rapporté que
le coût d'un piratage de compte
causé par le « credential stuffing » peut
se chiffrer de 1 500 à 2 000 $
par compte.

Lors d'un test d'une heure,
seules 64 %
des tentatives de connexion par des botnets ont pu être
détectées.2

Soyez plus fort que les bots en restant informé des dernières tendances.

La pratique du « credential stuffing » devrait être l'une de vos préoccupations majeures en matière de sécurité.

Apprenez-en plus sur la pratique du « credential stuffing » et découvrez comment protéger votre entreprise.

Découvrez comment