Les clients de Kiabi et Showroomprivé victimes de credential stuffing : quels risques ?

Deux enseignes retail, Showroomprivé et Kiabi, ont informé leurs clients d’une cyberattaque visant leurs comptes en ligne. Les cybercriminels ont tenté de pénétrer sur les comptes des clients des deux marques en exploitant des données compromises au moyen de la méthode du credential stuffing utilisée à grande échelle.

Benoit Grunemwald
Par Benoît Grunemwald Publié le 15 janvier 2025 à 5h00
apple, piratage, logiciel, espion risque
apple, piratage, logiciel, espion risque - © Economie Matin
99%Microsoft a constaté que le MFA peut bloquer plus de 99,9 % des attaques de compromission de compte

Les deux enseignes ont rapidement détecté les tentatives et contacté leurs clients pour leur partager les bonnes pratiques à mettre en place comme le changement de leur mot de passe. D’après les experts, de nombreuses données personnelles ont tout de même été exfiltrées.

Le Credential Stuffing est une succession de tentatives d’identification sur des comptes en ligne, réseaux sociaux, messagerie ou encore sites de vente. Ces essais sont basés sur des listes de combinaisons d’identifiants (nom d’utilisateur et mot de passe) volées ou devinées.

D’une part ce type d’attaque repose sur le fait que de nombreux utilisateurs réutilisent leurs identifiants sur plusieurs sites, mais également que les mots de passe les plus utilisés sont commun et facilement devinables.

D’autre part, de nombreuses fuites de données en 2024 ont permis de créer des bases de login (email, numéro de téléphone). Si en 2024 les mots de passe n’ont pas fuité, il est soit possible de les trouver dans d’anciennes fuites de données, soit de tenter de les deviner en s’appuyant sur les listes des mots de passe les plus utilisés, ou à partir de dictionnaires.

Les entreprises peuvent limiter le succès des tentatives d’accès aux comptes :

  • En instaurant un nombre maximal d’essai dans le cas où le mot de passe est tenté d’être deviné,
  • En ajoutant une authentification multi-facteur, qui agit dès la première tentative, même si l’attaquant connait le mot de passe de sa cible. En effet, un code éphémère et ainsi demandé en plus du mot de passe pour valider l’accès au compte.
  • En ayant recourt aux mécanismes de connexion sans mot de passe

Dès que possible, il faut utiliser un gestionnaire de mot de passe, pour obtenir des mots de passe complexes et uniques pour chaque site, activer le multi-facteur et rester vigilant aux fuites de données.

Sources :

https://www.cnil.fr/fr/definition/credential-stuffing-attaque-informatique

https://www.holbertonschool.fr/post/credential-stuffing-et-lattaque-contre-ile-de-france-mobilites

https://www.01net.com/actualites/une-cyberattaque-secoue-showroomprive.html

https://korii.slate.fr/et-caetera/liste-mots-de-passe-les-plus-utilises-2024-france-monde-azerty-123456-marseille-securite-informatique

https://korben.info/passkeys-nouvelle-methode-connexion-sans-mot-de-passe.html

Une réaction ? Laissez un commentaire

Vous avez aimé cet article ? Abonnez-vous à notre Newsletter gratuite pour des articles captivants, du contenu exclusif et les dernières actualités.

Benoit Grunemwald
Benoît Grunemwald

Expert en Cyber sécurité pour ESET France

Aucun commentaire à «Les clients de Kiabi et Showroomprivé victimes de credential stuffing : quels risques ?»

Laisser un commentaire

* Champs requis