La confidentialité des données nécessite une protection contre le « credential stuffing »
Le 27 juin 2022, la Global Privacy Assembly (GPA) , une association de plus de 130 régulateurs et responsables de la protection des données et de la confidentialité, a publié les premières lignes directrices intergouvernementales sur le bourrage d'identifiants, affirmant que le bourrage d'identifiants présente un risque pour les données personnelles à l'échelle mondiale et que les lois sur la protection des données exigent que les organisations se protègent contre ce phénomène.
F5 est fier d'avoir participé à l'élaboration des lignes directrices et apprécie la reconnaissance du GPA. F5 a depuis longtemps reconnu la menace du « credential stuffing ». C'est Sumit Agarwal de F5 qui a inventé le terme « credential stuffing » alors qu'il était secrétaire adjoint à la Défense au Pentagone, une idée qui a conduit à la fondation de Shape Security (désormais partie de F5) en 2011 en tant que premier fournisseur de gestion de robots. Aujourd'hui, F5 continue de protéger les plus grandes banques, les détaillants en ligne, les compagnies aériennes, les prestataires de services d'accueil et les sociétés de médias sociaux du monde contre le vol d'identifiants et les menaces associées.
Les nouvelles lignes directrices, publiées par l'International Enforcement Cooperation Working Group (IEWG), un groupe de travail permanent du GPA, documentent la manière dont le bourrage d'identifiants est réalisé, expliquent les facteurs économiques qui motivent sa prévalence, soulignent pourquoi il s'agit d'une préoccupation mondiale et doit être intégré dans la législation sur la confidentialité des données, et décrivent plusieurs méthodes pour atténuer le bourrage d'identifiants.
Les directives du GPA s’appuient sur plusieurs avertissements récents émis par des agences gouvernementales. Le 5 janvier 2022, le bureau du procureur général de l'État de New York a publié un guide commercial sur l'augmentation galopante du « credential stuffing » et la nécessité pour les entreprises de prendre des mesures préventives. Le 15 septembre 2020, la Securities and Exchange Commission a émis une alerte aux risques concernant l'augmentation spectaculaire des cas de falsification d'informations d'identification à l'encontre des conseillers en investissement et des courtiers enregistrés auprès de la SEC. Le 10 septembre 2020, le Federal Bureau of Investigation des États-Unis a publié une notification destinée au secteur privé , mettant en garde contre une série d'attaques de vol d'identifiants contre des institutions financières américaines, affectant plus de 50 000 comptes et coûtant aux entreprises en moyenne 6 millions de dollars par an en frais de notification et de correction uniquement. Ces incidents continuent d'avoir un impact sur les responsables de la confidentialité, comme en témoigne l' article récent du CPO documentant une attaque massive de dotation en personnel d'identification contre General Motors.
Le « credential stuffing » est un cybercrime dans lequel des criminels testent des informations d'identification volées sur des sites Web afin de prendre le contrôle de comptes. Les criminels effectuent ces attaques à grande échelle en utilisant des outils automatisés appelés bots. Il s’agit d’un cybercrime extrêmement efficace avec un retour sur investissement élevé car : 1) les identifiants volés sont si facilement disponibles, 2) jusqu'à 60 % des personnes réutilisent les mots de passe sur plusieurs comptes ( selon le FBI ), et 3) de nombreuses organisations s'appuient sur des méthodes d'atténuation inefficaces telles que le CAPTCHA et les listes de refus d'adresses IP.
Le nombre d’identifiants volés est stupéfiant. Rien qu'en 2020, 1,86 milliard d'identifiants ont été volés, selon le rapport 2021 de F5 Labs sur le bourrage d'identifiants . Les directives du GPA soulignent que les violations massives, telles que celle de Yahoo en 2013, ont exposé des milliards d'informations d'identification. Les attaquants peuvent exploiter ces informations d’identification volées pendant des années avant que les violations ne soient signalées publiquement.
« ... Les recherches du secteur privé ont identifié 55 milliards d'attaques de vol d'identifiants dans l'industrie du jeu entre novembre 2017 et mars 2019, ce qui équivaut à plus de 3 000 millions d'attaques par mois et plus de 107 millions d'attaques par jour. Des recherches plus poussées ont identifié 193 milliards d'attaques de vol d'identifiants dans le monde en 2020, ce qui équivaut à plus de 16 000 milliards d'attaques par mois et plus de 500 millions d'attaques par jour.
Les directives de la GPA soulignent également que les victimes de ces atteintes à la vie privée peuvent subir des préjudices allant au-delà des pertes financières, notamment des atteintes à la réputation causées par la désinformation ou la formulation de fausses déclarations sur une personne lors de l’utilisation de son compte compromis. Il est facile d’imaginer à quel point ces violations de la vie privée pourraient ruiner des vies.
Plus important encore, les lignes directrices concluent que les organisations devraient considérer les protections contre le « credential stuffing » comme l’une des mesures de sécurité « appropriées » requises par les lois sur la confidentialité des données, citant des dispositions spécifiques du RGPD de l’UE et de la règle de sauvegarde de la Federal Trade Commission des États-Unis.
« Étant donné la menace évidente que représentent les attaques de type « credential stuffing » pour les données personnelles (en particulier pour les organisations dont les comptes utilisateurs peuvent être consultés en ligne) et le traitement/accès non autorisé qui pourrait en résulter, la mise en œuvre de mesures visant à protéger les données personnelles contre les attaques de type « credential stuffing » sera généralement requise, au moins implicitement, en vertu des lois sur la protection des données et de la vie privée. »
Les directives du GPA recommandent aux organisations d’envisager plusieurs méthodes d’atténuation pour se protéger contre le bourrage d’informations d’identification :
- Paiement en tant qu'invité, ce qui élimine toute utilisation d'identifiants
- Politiques de mots de passe fortes pour minimiser le risque de réutilisation
- Alternatives aux mots de passe telles que l'authentification unique (SSO)
- Authentification multifactorielle (MFA)
- Mots de passe et codes PIN secondaires
- Empreinte digitale de l'appareil
- Noms d'utilisateur imprévisibles
- Identifier les mots de passe divulgués
- Limitation de débit
- Page de connexion et processus (connexion en plusieurs étapes)
- Surveillance/détection de compte
- Vérifications supplémentaires pour les réseaux d'anonymat (tels que TOR)
- CAPTCHA
- WAF
- Listes de blocage et listes d'autorisation d'adresses IP
- Plans de réponse aux incidents et notifications aux utilisateurs
Il s’agit certainement de techniques valables qui ont contribué à atténuer les attaques de bourrage d’informations d’identification. Lorsque vous évaluez les approches les mieux adaptées à votre organisation, F5, ayant innové dans ce domaine depuis de nombreuses années, vous recommande d’envisager des techniques qui atténuent efficacement les robots en temps réel sans ajouter de friction à l’expérience utilisateur et sans nécessiter une refonte de l’application.
Bien que les mots de passe et codes PIN secondaires, les noms d’utilisateur imprévisibles et les pages de connexion en plusieurs étapes renforcent la protection, ils le font au prix d’une augmentation des frictions entre les utilisateurs. Les entreprises qui souhaitent améliorer les conversions des clients et réduire l’abandon du panier d’achat voudront éviter de mettre des obstacles entre le client et l’achat. Le paiement en tant qu’invité peut également être utile, mais il empêche les organisations de fournir une expérience personnalisée et ciblée. L’authentification multifacteur, bien qu’efficace, ajoute également des frictions à l’expérience utilisateur et a été fortement ciblée par les criminels.
Le CAPTCHA ajoute également des frictions et offre une défense moins efficace que beaucoup de gens ne le pensent. Les services de résolution de CAPTCHA, utilisant l'apprentissage automatique et les fermes de clics, permettent aux robots de contourner le CAPTCHA à moindre coût. (Découvrez les aventures de Dan Woods dans Tales of a Human CAPTCHA Solver .)
Les organisations qui ont travaillé avec F5 ont découvert que les listes de blocage d’adresses IP et les règles WAF statiques sont trop difficiles à maintenir. Les services proxy permettent aux robots d’utiliser des millions d’adresses IP résidentielles valides. Pendant ce temps, les robots se réorganisent en quelques heures dès qu'ils sont bloqués. De telles approches forcent les équipes de sécurité à jouer au jeu du chat et de la souris, un jeu perdant.
De même, la surveillance/détection des comptes, les plans de réponse aux incidents et les notifications aux utilisateurs sont tous importants et doivent faire partie d’un programme de gestion des robots, mais ces protections sont appliquées après coup. Heureusement, il existe des techniques permettant d’empêcher les criminels de prendre le contrôle des comptes.
F5 travaille avec des organisations déterminées à se protéger et à protéger leurs clients contre les abus frauduleux résultant du bourrage d'identifiants, tout en offrant d'excellentes expériences numériques qui ravissent les clients et gagnent sur le marché concurrentiel d'aujourd'hui. F5 a gagné la fidélité de ses clients en les protégeant contre les robots avec la plus grande efficacité disponible sans imposer de frictions aux utilisateurs. La technologie s'appuie sur des années de recherche et de développement en JavaScript et en signaux natifs mobiles couvrant les environnements des appareils et les caractéristiques comportementales des robots. En plus de la détection en temps réel basée sur ces signaux, F5 Distributed Cloud Bot Defense inclut un service d'analyse d'apprentissage automatique qui détecte et répond rapidement au réoutillage des bots. Pour garantir une efficacité à long terme, le code de collecte de signaux passe par une technique d’obscurcissement avancée, qui empêche l’ingénierie inverse et la falsification du signal.
F5 croit en la nécessité de rendre la cybersécurité personnelle, et les attaques de vol d'identifiants, qui fraudent les organisations et ravagent les individus, représentent exactement le type de problème que nous nous efforçons de résoudre. Comme le souligne Dan Woods, responsable mondial du renseignement chez F5, dans Fast Company , ces attaques ont jusqu’à présent reçu trop peu d’attention. Heureusement, la GPA et de nombreuses agences de protection de la vie privée attirent l’attention sur les risques pour la vie privée des individus.
« L’attaque coloniale a mis en évidence un décalage évident entre la perception du public et le récit des médias autour de la cybersécurité. Causer un peu de douleur à des millions de personnes : les gros titres internationaux. Ils dévastent des milliers de familles en leur volant leurs économies dans des stratagèmes différents : des grillons.
À l’ère du numérique, où une grande partie de notre vie est stockée sous forme de données en ligne, nous dépendons des organisations qui abordent la confidentialité des données avec le plus grand sérieux, un point mis en évidence par des lois de plus en plus strictes sur la confidentialité promulguées par les gouvernements du monde entier. La législation sur la confidentialité des données, telle que le RGPD, exige que les organisations prennent toutes les mesures appropriées pour défendre la confidentialité. En raison de ce que nous savons maintenant sur le bourrage d’identifiants, ces directives GPA indiquent clairement que la protection contre le bourrage d’identifiants doit faire partie des mesures appropriées de toute organisation.
Pour plus d’informations sur le retour sur investissement de la protection contre les robots, consultez le rapport Forrester Total Economic Impact . Apprenez-en davantage et planifiez une conversation avec un expert en bot F5 sur f5.com/bot-defense .