IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

USA : les hackers ont compté pour 90 % des tentatives de connexion sur des sites de détaillants en ligne
D'après un rapport

Le , par Stéphane le calme

161PARTAGES

14  0 
La vente de données personnelles volées est une grosse affaire pour les pirates. Sur le Dark Web, les cybercriminels se bousculent pour collecter les informations d'identification issues de violations de données, puis les testent sur chaque site Web et application mobile imaginable. Il arrive qu’un petit sous-ensemble de ces informations d'identification déverrouille les comptes car la plupart des consommateurs réutilisent les mots de passe sur plusieurs sites. Les cybercriminels s’en servent ensuite pour commettre toutes sortes de fraudes, de virements bancaires non autorisés à des achats illicites de Camembert.

Les détaillants en ligne sont les plus touchés par ces attaques, selon un rapport de la société de sécurité informatique Shape Security. Les pirates utilisent des programmes pour appliquer des données volées dans un flot de tentatives de connexion, appelé « bourrage des informations d'identification ». Ces jours-ci, plus de 90% du trafic de connexion global des sites e-commerce provient de ces attaques. Les secteurs des compagnies aériennes et des services bancaires aux consommateurs sont également assiégés, avec environ 60% des tentatives de connexion provenant de criminels.


Détaillants en ligne

Selon Shape, ceux-ci sont font face à des attaques incessantes de bourrage des informations d'identification, qui représentent généralement 80 à 90% de leur trafic. D’ailleurs, en 2017, un détaillant de luxe a connu un trafic d'attaque de 99% sur sa page de connexion. Les propriétés web de détail sont très lucratives pour les cybercriminels pour deux raisons principales :

  • la première, les sites Web de vente au détail sont conçus pour causer le moins de friction possible pour les clients. En raison de l'accent mis sur l’expérience utilisateur, les détaillants sont réticents à imposer des mesures de sécurité qui pourraient conduire un client à abandonner son panier, qu'il s'agisse d'une authentification à deux facteurs ou d'une confirmation par courriel requise pour les changements de compte.
  • la seconde, les attaquants qui se servent du bourrage des identifiants ont bénéficié de la hausse des services omnicanaux. L'une des plus grandes opportunités de fraude se trouve dans l'écart entre la vente au détail en ligne et hors ligne créée par les services omnicanaux. Les fraudeurs peuvent utiliser des comptes en ligne piratés pour monétiser plus facilement la marchandise volée précédemment dans des vitrines physiques, ou même acheter des marchandises en ligne qu'ils monétisent ensuite dans des magasins.


Monétisation du bourrage des informations d'identification

En fin de compte, dans presque tous les scénarios, un attaquant veut obtenir des marchandises qui peuvent être revendues ou utilisées pour avoir un retour sur sa fraude. Pour acheter des biens, un cybercriminel a besoin de pirater un compte sur une plateforme de vente au détail qui va lui servir de porte-monnaie. Une fois que le cybercriminel obtient la marchandise, celle-ci sera revendue soit à des consommateurs non avertis dans un marché tiers, soit à d’autres malfaiteurs sur le Dark Web.

Compagnies aériennes

Les compagnies aériennes sont des cibles populaires pour le bourrage des informations d'identification. Les miles de voyageurs fréquents sont des actifs hautement monétisables et précieux qui ne sont souvent pas protégés par les mesures de sécurité sophistiquées des services financiers. Un consommateur typique est un voyageur peu fréquent qui se connecte à son compte sur la compagnie aérienne beaucoup moins souvent qu'il / elle se connecterait à d'autres comptes en ligne. En raison de cette faible fréquence, il faut souvent beaucoup plus de temps à un client de la compagnie aérienne pour découvrir le piratage de son compte par exemple qu’un client d’une institution financière.

Soixante-cinq à 65% des connexions sur des compagnies aériennes sont des attaques de bourrage d'informations d'identification lorsque seuls les identifiants typiques (nom d'utilisateur / mot de passe) sont requis pour l'authentification. Certaines compagnies aériennes emploient un numéro de client unique qui peut réduire le nombre d'attaques de bourrage d'informations d'identification. Cependant, cette identification unique introduit un impératif chez le client qui doit désormais se souvenir de ce nom d'utilisateur uniquement pour ce site.

Ici, le coût pour l’industrie est moins élevé que celui des vendeurs au détail. Selon l’étude, l’une des raisons qui pourraient expliquer cela est le fait qu’il y a beaucoup moins
compagnies aériennes que les vendeurs au détail, les banques ou même les chaînes d'hôtels aux États-Unis. Quoiqu’il en soit, l’une des cinq compagnies aériennes les plus importantes aux États-unis a déclaré que 7 millions de dollars sont dépensés chaque année pour rétablir les milles volés.


Monétisation du bourrage des informations d'identification

Le vol et la vente de miles est très différent du vol et de la vente de cartes-cadeaux. L'intervalle entre le moment où un compte est compromis et le moment où les actifs du compte sont monétisés est un facteur clé pour un attaquant.

Bien entendu, les attaquants veulent que ce laps de temps soit aussi court que possible. Les miles sont difficiles à monétiser rapidement à l'échelle individuelle en raison de la spécificité de la vente et du temps à prendre pour trouver un acheteur approprié. Néanmoins, le bourrage des informations d’identification dans le secteur du transport aérien et d'autres industries du voyage continue d’alimenter le marché des courtiers de kilométrage.

Secteur bancaire

Il va sans dire que c’est l’industrie la plus lucrative pour les cybercriminels. Ceux-ci se servent de différentes stratégies pour tenter de contourner les mécanismes mis sur pieds par les institutions financières pour limiter la fraude, par exemple en passant par des agrégateurs financiers.

Les agrégateurs financiers sont des sociétés comme Intuit, Yodlee et Plaid qui permettent aux utilisateurs d'avoir une vue consolidée de leurs finances. L'agrégateur reçoit les informations de connexion des utilisateurs pour plusieurs fournisseurs de services financiers et se connecte dans divers comptes au nom des utilisateurs pour leur donner une vue unique de toutes les données sur la plateforme de l'agrégateur.

Les agrégateurs ont des relations de confiance avec les institutions financières et sont généralement inclus dans la liste blanche. Cela signifie que le trafic provenant des agrégateurs n'est pas aussi fortement examiné et contourne le contrôle anti-automatisation typique. Les criminels ont pris conscience de cette lacune et ont commencé à exploiter la relation entre les agrégateurs et les institutions financières pour effectuer leurs attaques par bourrages d’informations d'identification.

L'attaquant, au lieu de se rendre directement sur le site Web de l'institution financière pour son attaque, cible plutôt celui de l'agrégateur et s'inscrit et essaye de se connecter en utilisant les informations d'identification volées. L'agrégateur tente ensuite de le connecter au site Web de l'institution financière en utilisant ces informations d'identification. L'agrégateur va alors permettre à l’attaquant d’avoir une liste d'informations bancaires validées qui peuvent être utilisées pour la reprise manuelle de compte sur le site bancaire.


Conclusion

Shape explique que trois fois sur cent, ces attaques sont couronnées de succès et l’addition devient vite salée pour les entreprises. Ce type de fraude coûte au secteur de l'e-commerce environ 6 milliards de dollars par an, alors que le secteur de la banque de consommation perd environ 1,7 milliard de dollars par an. Les entreprises hôtelières et aériennes sont également des cibles majeures.

Le rapport rappelle que face à ce fléau, certains organismes ont tenté de prendre des mesures. Par exemple, en avril 2018, le Consortium World Wide Web (W3C), en collaboration avec l'Alliance FIDO, a publié un nouveau jalon des standards, WebAuthn, pour permettre plus facilement une authentification sans mot de passe. WebAuthn définit une API Web standard qui peut être intégrée dans les navigateurs et l'infrastructure de la plateforme Web associée et donne aux utilisateurs de nouvelles méthodes pour s’authentifier en toute sécurité sur le web, dans le navigateur, et à travers les sites et les appareils.

La norme éloigne les utilisateurs des mots de passe et leur préfère d’autres solutions comme la biométrie ou des tokens USB afin de réduire les reprises de comptes découlant de la réutilisation du mot de passe. Cependant, note Shape, en remplaçant les mots de passe avec un périphérique physique qui agit comme une clé, cela maintient toujours une authentification en un point que les attaquants peuvent finalement surmonter en émulant l'appareil.

Source : rapport en PJ (au format PDF)

Et vous ?

Qu'en pensez-vous ?
Quelles solutions pouvez-vous proposer pour protéger au mieux son compte ?

Voir aussi :

USA : des hackers s'introduisent dans le réseau de LabCorp, l'un des plus grands laboratoires américains de tests sanguins
Node.js : eslint-scope, un paquet npm, a été infecté par un hacker pour lui permettre de voler des identifiants npm
USA : des hackers auraient piraté un système de gestion de carburant d'une station-service, avant d'emporter 600 gallons de carburant
Un hacker aurait montré qu'il est possible de contourner le mécanisme de sécurité d'iOS, pour déverrouiller un iPhone par force brute
Un hacker canadien écope de 5 ans de prison dans le piratage de 500 millions de comptes Yahoo pour avoir travaillé pour les espions russes

Une erreur dans cette actualité ? Signalez-nous-la !