Une attaque par liste de mots de passe est un type de cyberattaque dans laquelle les attaquants utilisent une liste précompilée d'identifiants et de mots de passe, souvent obtenus grâce à des vulnérabilités dans d'autres sites, pour tenter accès non autorisé aux sites Web d'une entreprise ou d'une organisation. Cette méthode est également appelée « attaques par liste de comptes » ou « piratage de compte basé sur une liste ».
Les attaquants obtiennent généralement ces listes d’identifiants et de mots de passe à partir de sites Web ou de systèmes non sécurisés. Par exemple, si un attaquant accède à un compte de commerce électronique à l’aide d’informations d’identification volées, il peut voler des informations personnelles ou utiliser à mauvais escient les informations de carte de crédit stockées. Les victimes d’attaques par liste de mots de passe peuvent subir des pertes financières dues à des retraits non autorisés ou à des transactions frauduleuses.
Causes des attaques par liste de mots de passe
- Réutilisation des identifiants et des mots de passe : De nombreux utilisateurs réutilisent les mêmes informations d’identification sur plusieurs services, ce qui permet aux attaquants de compromettre plus facilement plusieurs comptes.
- Attaques de phishing : Les attaquants peuvent obtenir des listes d'identifiants par le biais du phishing, où les utilisateurs sont amenés à saisir leurs identifiants sur des sites Web faux mais convaincants.
Différences avec les autres cyberattaques
Les attaques par liste de mots de passe sont souvent confondues avec les types d’attaques suivants :
- Attaques par force brute : Deviner systématiquement les mots de passe en essayant toutes les combinaisons possibles.
- Attaques par dictionnaire : Utilisation d'une bibliothèque prédéfinie de mots de passe ou de combinaisons de mots courants, tels que des noms ou des phrases.
- Attaques par pulvérisation de mots de passe : Utiliser un mot de passe unique pour tenter de se connecter simultanément à plusieurs comptes, évitant ainsi les mécanismes de verrouillage de compte.
Les attaques par liste de mots de passe sont particulièrement difficiles à détecter car elles impliquent moins de tentatives de connexion par compte par rapport aux attaques par force brute.
Exemples d'incidents réels
- Systèmes de paiement par code QR : En juillet 2019, le service de paiement par code QR « 7pay » au Japon a subi des dommages financiers en raison d' un accès non autorisé, soupçonné d'impliquer des attaques par liste de mots de passe, entraînant la fermeture du service.
- Dépôts bancaires : En septembre 2020, NTT Docomo a été confronté à des retraits frauduleux de comptes bancaires via son service « Docomo Account » en utilisant des informations d'identification volées.
Impacts des attaques par liste de mots de passe
- Retraits non autorisés et fraudes aux paiements : Les informations d’identification volées peuvent entraîner un accès non autorisé à des comptes bancaires ou une utilisation abusive de cartes de crédit.
- Violations de données : Les victimes peuvent être victimes de fuites d’informations personnelles ou professionnelles sensibles.
- Usurpation d'identité sur les réseaux sociaux : accès non autorisé aux comptes de réseaux sociaux peut entraîner des dommages à la réputation via de fausses publications ou de faux messages.
- Responsabilités légales des prestataires de services : Les entreprises peuvent être confrontées à des responsabilités civiles et pénales en raison de mesures de sécurité insuffisantes, ce qui entraîne des coûts élevés de contrôle des dommages.
- Perte de confiance du public : Les violations peuvent nuire à la réputation de l’entreprise et réduire la confiance des utilisateurs dans ses services.
Prévention des attaques par liste de mots de passe
Les individus comme les organisations doivent mettre en œuvre des stratégies pour prévenir ces attaques :
- Évitez de réutiliser les informations d’identification : Les utilisateurs doivent utiliser des identifiants et des mots de passe uniques pour chaque service, tandis que les fournisseurs de services doivent informer les utilisateurs de cette pratique.
- Surveiller les tentatives de connexion avec les WAF : Utilisez des pare-feu application Web (WAF) pour détecter les activités de connexion suspectes, telles que plusieurs tentatives à partir de la même adresse IP ou des emplacements inhabituels.
- Mettre en œuvre l'authentification à deux facteurs (2FA) : L’ajout d’une étape d’authentification supplémentaire, comme l’envoi d’un mot de passe à usage unique par e-mail, permet d’empêcher accès non autorisé même si les informations d’identification sont compromises.