Rejoignez Dan Woods (vice-président du Shape Security Intelligence Center chez F5) et Sander Vinberg (évangéliste des menaces chez F5 Labs), alors qu'ils se penchent sur le nouveau rapport de F5 Labs sur le bourrage d'informations d'identification avec John Wagnon et Jason Rahm de DevCentral.
Pour en savoir plus, consultez le rapport complet 2021 sur le bourrage d'informations d'identification et regardez une version étendue de la discussion DevCentral Connects ici . Vous trouverez également ci-dessous un résumé des principales conclusions du rapport.
Le nombre annuel d'incidents de fuite d'identifiants a presque doublé entre 2016 et 2020, selon le dernier rapport de F5 Labs sur le bourrage d'identifiants .
L’initiative de recherche la plus complète de ce type a signalé une baisse de 46 % du volume de diplômes divulgués au cours de la même période. La taille moyenne des déversements a également diminué, passant de 63 millions d’enregistrements en 2016 à 17 millions l’année dernière. Parallèlement, la taille médiane des déversements en 2020 (2 millions d’enregistrements) représentait une augmentation de 234 % par rapport à 2019 et était la plus élevée depuis 2016 (2,75 millions).
Le « credential stuffing », qui implique l’exploitation de grands volumes de paires de noms d’utilisateur et/ou d’e-mails et de mots de passe compromis, est un problème mondial croissant. À titre d’exemple, une notification du secteur privé émise par le FBI l’année dernière a averti que la menace représentait le plus grand volume d’incidents de sécurité contre le secteur financier américain entre 2017 et 2020 (41 %).
« Les attaquants collectent des milliards d’identifiants depuis des années », a déclaré Sara Boddy, directrice principale de F5 Communities (F5 Labs et DevCentral). « Les fuites d’identifiants sont comme une marée noire : une fois qu’elles se produisent, elles sont très difficiles à nettoyer, car les identifiants ne sont pas modifiés par des consommateurs sans méfiance, et les solutions de bourrage d’identifiants n’ont pas encore été largement adoptées par les entreprises. Il n’est pas surprenant qu’au cours de cette période de recherche, nous ayons constaté un changement dans le type d’attaque numéro un, des attaques HTTP vers le bourrage d’informations d’identification. Ce type d’attaque a un impact à long terme sur la sécurité des applications et ne va pas changer de sitôt. Si vous avez peur d’être piraté, il s’agira probablement d’une attaque de type « credential stuffing ».
Sur la base de ces résultats, Sander Vinberg, évangéliste en recherche sur les menaces chez F5 Labs et co-auteur du rapport, a exhorté les organisations à rester vigilantes.
« Bien qu’il soit intéressant de constater que le volume et la taille globaux des informations d’identification divulguées ont diminué en 2020, nous ne devrions certainement pas nous réjouir pour l’instant », a-t-il averti. « Les attaques d’accès, notamment le vol d’identifiants et le phishing, sont désormais la première cause de violations. Il est très peu probable que les équipes de sécurité remportent la guerre contre l’exfiltration de données et la fraude. Il semble donc que nous assistions à une stabilisation d’un marché auparavant chaotique à mesure qu’il atteint une plus grande maturité.
Malgré un consensus croissant sur les meilleures pratiques du secteur, l’une des principales conclusions du rapport est que le mauvais stockage des mots de passe reste un problème permanent.
Bien que la plupart des organisations ne divulguent pas les algorithmes de hachage de mot de passe, F5 a pu étudier 90 incidents spécifiques pour donner une idée des coupables les plus probables de fuite d'informations d'identification.
Au cours des trois dernières années, 42,6 % des fuites d’informations d’identification n’avaient aucune protection et les mots de passe étaient stockés en texte brut. Viennent ensuite 20 % des informations d’identification liées à l’algorithme de hachage de mot de passe SHA-1 qui n’étaient pas « salées » (c’est-à-dire qu’elles ne comportaient pas de valeur unique pouvant être ajoutée à la fin du mot de passe pour créer une valeur de hachage différente). L'algorithme bcrypt « salé » était troisième avec 16,7 %. Étonnamment, l’algorithme de hachage MD5, largement discrédité, n’est responsable que d’une faible proportion d’informations d’identification divulguées, même lorsque les hachages ont été salés (0,4 %). Le MD5 a été considéré comme une pratique faible et médiocre pendant des décennies, qu'il soit salé ou non.
Une autre observation notable du rapport est que les attaquants utilisent de plus en plus des techniques de « fuzzing » pour optimiser le succès de l’exploitation des informations d’identification. Le fuzzing est le processus de recherche de vulnérabilités de sécurité dans le code d'analyse d'entrée en testant à plusieurs reprises l'analyseur avec des entrées modifiées. F5 a constaté que la plupart des attaques de fuzzing se produisaient avant la publication publique des informations d’identification compromises, ce qui suggère que la pratique est plus courante parmi les attaquants sophistiqués.
Dans le rapport 2018 sur le bourrage d'informations d'identification , F5 a indiqué qu'il fallait en moyenne 15 mois pour qu'une fuite d'informations d'identification soit rendue publique. La situation s’est améliorée au cours des trois dernières années. Le délai moyen de détection des incidents, lorsque la date de l’incident et la date de découverte sont connues, est désormais d’environ onze mois. Toutefois, ce chiffre est faussé par une poignée d’incidents où le temps de détection a été de trois ans ou plus. Le délai médian de détection des incidents est de 120 jours. Il est important de noter que les fuites sont souvent détectées sur le Dark Web avant que les organisations ne divulguent une violation.
L’annonce d’une marée noire coïncide généralement avec l’apparition d’informations d’identification sur les forums du Dark Web. Pour le rapport 2020 sur le « Credentials Stuffing », F5 a spécifiquement analysé la période cruciale entre le vol des identifiants et leur publication sur le Dark Web.
Les chercheurs ont mené une analyse historique en utilisant un échantillon de près de 9 milliards d’identifiants provenant de milliers de violations de données distinctes, appelé « Collection X ». Les informations d’identification ont été publiées sur les forums du Dark Web début janvier 2019.
F5 a comparé les informations d'identification de la Collection X aux noms d'utilisateur utilisés dans les attaques de bourrage d'informations d'identification contre un groupe de clients six mois avant et après la date de l'annonce (la première fois qu'une fuite d'informations d'identification devient publique). Quatre clients Fortune 500 ont été étudiés : deux banques, un détaillant et une entreprise de produits alimentaires et de boissons, représentant 72 milliards de transactions de connexion sur 21 mois. Grâce à la technologie Shape Security, les chercheurs ont pu « retracer » les identifiants volés lors de leur vol, de leur vente et de leur utilisation.
Au cours des 12 derniers mois, 2,9 milliards d'identifiants différents ont été utilisés dans le cadre de transactions légitimes et d'attaques sur les quatre sites Web. Près d’un tiers (900 millions) des identifiants ont été compromis. Les identifiants volés sont apparus le plus souvent lors de transactions humaines légitimes dans les banques (35 % et 25 % des cas, respectivement). 10 % des attaques visaient le commerce de détail, et environ 5 % se concentraient sur le secteur de l’alimentation et des boissons.
D’après l’étude, le rapport sur le « Credential Stuffing » a identifié cinq phases distinctes d’utilisation abusive des informations d’identification :
« Le « credential stuffing » restera une menace tant que nous exigerons des utilisateurs qu’ils se connectent à leurs comptes en ligne », a ajouté Boddy. « Les attaquants continueront de modifier leurs attaques pour adopter des techniques de protection contre la fraude, ce qui crée un besoin important et une opportunité pour des contrôles adaptatifs, alimentés par l'IA, liés au bourrage d'identifiants et à la fraude. Il est impossible de détecter instantanément 100 % des attaques. Ce qui est possible, c’est de rendre les attaques si coûteuses que les fraudeurs abandonnent. S’il y a une chose qui est vraie dans le monde des cybercriminels et des hommes d’affaires, c’est que le temps, c’est de l’argent.
Pour des perspectives supplémentaires sur le renseignement sur les menaces et la cybersécurité, visitez https://www.f5.com/labs .