mar. Fév 7th, 2023

Les utilisateurs concernés doivent reconsidérer leur stratégie de mot de passe. Dans le cas contraire, les fuites de données deviennent rapidement fatales grâce au credential stuffing.

Le processeur de paiement populaire PayPal a informé des milliers d’utilisateurs de l’accès non autorisé à leurs comptes. Par le soi-disant « Bourrage d’informations d’identification» (explication du BSI), les attaquants ont pu accéder aux comptes d’utilisateurs tiers, y compris les données personnelles qui y sont stockées. Un bon moment pour repenser votre propre stratégie de mot de passe.

Les fuites de données fournissent aux cybercriminels d’innombrables mots de passe

Le credential stuffing est un vecteur d’attaque dans lequel les cybercriminels tentent de prendre le contrôle des comptes de quelqu’un d’autre en utilisant des informations d’identification divulguées pour se connecter à divers services en ligne.

Pour accélérer le processus, des bots sont souvent utilisés pour entrer automatiquement des listes entières d’informations de connexion dans des formulaires de connexion sur de nombreux sites Web.

De nombreux utilisateurs utilisent des combinaisons identiques de leur nom d’utilisateur et de leur mot de passe pour plusieurs comptes. Par exemple, une fuite de données Twitter peut parfois permettre aux attaquants d’accéder aux comptes d’utilisateurs des fournisseurs de services de paiement.

Les attaquants ont pu accéder à des données personnelles via credential stuffing

Comme le rapporte BleepingComputer, une telle attaque de credential stuffing contre PayPal a eu lieu entre le 6 et le 8 décembre 2022. Selon des enquêtes internes, l’entreprise a confirmé que des personnes non autorisées disposant de données d’accès valides ont pu se connecter à un total de 34 942 comptes d’utilisateurs.

Voir aussi  Boxcryptor : Dropbox rachète le chiffrement E2E allemand

En conséquence, les attaquants avaient un accès étendu aux données des titulaires de compte. Cela inclut les noms complets, les dates de naissance, les adresses postales, les numéros de sécurité sociale, les numéros d’identification fiscale, les transactions passées, les détails des comptes bancaires et des cartes de crédit liés et les informations de facturation PayPal.

Cependant, le prestataire de services de paiement n’a pas été en mesure de déterminer si ses propres systèmes avaient été compromis. Par conséquent, les données d’accès devaient provenir d’une autre source.

Protection contre le credential stuffing : le temps des nouveaux mots de passe

Dans son message aux utilisateurs concernés, PayPal assure qu’il n’y a aucune preuve à ce jour que le « des données personnelles ont été utilisées à mauvais escient à la suite de cet incident ou que des transactions non autorisées” ont été faites via les comptes des utilisateurs.

Les mots de passe sont comme des pantalons
Mieux vaut changer souvent ! Richard Parmiter – (CC BY-NC-ND 2.0).

Néanmoins, la société a pris des mesures pour restreindre l’accès des attaquants. Pour cela PayPal a « réinitialiser les mots de passe des comptes PayPal concernés et mettre en place des contrôles de sécurité renforcés“.

Les victimes de l’attaque par credential stuffing doivent donc saisir un nouveau mot de passe lors de leur prochaine connexion.

En général, cette attaque montre à quel point il n’est pas seulement important d’utiliser des mots de passe sécurisés. De même, les utilisateurs doivent utiliser des données d’accès uniques pour chaque enregistrement et utiliser des mécanismes de sécurité supplémentaires tels que l’authentification à deux facteurs (2FA). Sinon, les fuites de données peuvent rapidement avoir des conséquences désagréables.

Voir aussi  Écran auto-cicatrisant : Apple dépose un nouveau brevet

Reste à savoir si la nouvelle connexion sans mot de passe est une option plus sécurisée. Si vous avez du mal à vous souvenir de vos mots de passe, vous pouvez également utiliser une base de données de mots de passe. Juste peut-être pas nécessairement sur LastPass.