Actualités de la sécurité

« Credential stuffing » : définition et pourquoi votre caméra de sécurité intelligente en est vulnérable ?

Avast Security News Team, 4 mai 2019

Protégez-vous de l’une des menaces majeures d’aujourd’hui et maintenez les pirates à l’écart de vos comptes de caméra de sécurité.

Imaginez que votre meilleur outil de sécurité, installé pour empêcher les intrus d’entrer chez vous, est soudainement utilisé comme une passerelle d’accès à votre domicile. Ce cauchemar est une réalité pour un nombre grandissant de victimes.

Comme publié par The Washington Post, cette terrifiante expérience est arrivée à la maman d’une petite californienne. Alors que sa petite fille n’arrêtait pas de parler d’un « monstre » dans sa chambre, elle a découvert quelque chose de beaucoup plus inquiétant. Des pirates avaient réussi à prendre le contrôle de la caméra de sécurité de la famille et utilisaient la fonction interphone pour diffuser une bande son pornographique dans la chambre de la petite fille âgée de 2 ans.

Malheureusement, cette expérience n’est pas unique. Les pirates, espérant profiter d’une faiblesse des fonctions de sécurité tenteront, par tous les moyens dont ils disposent, de forcer les portes virtuelles des produits destinés au grand public comme les caméras de sécurité. En outre, la technique appelée « credential stuffing » a évolué en un piratage facile, même pour un cybercriminel débutant.

Pourquoi une caméra de sécurité est-elle une proie facile ?

La sécurité installée sur les caméras Nest et autres produits grand public de l’IoT peut créer ce que les initiés de la Silicon Valley appellent une « friction », c’est-à-dire des barrières qui empêchent un utilisateur de vivre une expérience harmonieuse et réussie avec le produit en question. Une friction, cela peut être de trop nombreux écrans à ouvrir, des instructions d’assemblage trop compliquées, une procédure de sécurité trop complexe, et ainsi de suite. Moins un produit possède de frictions, plus il est attractif.

Comme la technologie IoT peut intimider quiconque n’est pas familiarisé avec le numérique, les nouveaux produits doivent sembler faciles à mettre en place et faciles à utiliser. Pour attirer plus de consommateurs, certains développeurs IoT font le choix de ne pas ajouter des fonctions de sécurité de base comme l’invite à changer le mot de passe par défaut ou l’authentification à 2 facteurs (2FA). Une faille de sécurité comme celle-là rend votre réseau à domicile vulnérable aux cyberattaques, notamment à la plus populaire des failles actuelles, le « credential stuffing ».

Qu’est-ce que le « credential stuffing » ?

C’est l’un des exploits les plus faciles des cybercriminels, un grand favori parmi les pirates. En utilisant cette technique, l’agresseur collecte vos identifiants piratés (généralement lors d’une violation de données), puis les applique à une variété d’autres comptes, en espérant qu’ils en déverrouilleront d’autres.

Par exemple, imaginons que vous faites des achats en ligne chez Target, et les pirates violent la base de données de cette entreprise. Avec vos identifiants volés, il peut ensuite utiliser le « credential stuffing » pour essayer de se connecter à des sites bancaires, des réseaux sociaux, des serveurs de messagerie et autres sites. Si vous faites ce que fait la plupart des utilisateurs, vous réutilisez vos identifiants habituels. Et les pirates comptent là-dessus.

Les avancées en matière de technologie font qu’il est plus facile que jamais de lancer une agression par « credential stuffing ». Voici ce que The Washington Post en dit :

Une nouvelle génération de programmes logiciels de « credential-stuffing » permet à des gens peu ou prou doués en informatique d’essayer les identifiants de connexion de millions d’utilisateurs sur des centaines de sites Web et de services en ligne tels que Netflix et Spotify en quelques minutes.

Comment m’assurer que personne ne pirate ma caméra de sécurité ?

Découvrez nos 5 conseils pour protéger votre caméra de sécurité des cybercriminels. Un premier point essentiel, vérifiez que vous utilisez un mot de passe unique et complexe pour accéder à chacun de vos comptes, tels que les appareils IoT.

Comment me protéger du « credential stuffing » ?

Vous pouvez faire échec au « credential stuffing » en gardant le contrôle de vos identifiants de connexion. Vérifiez qu’aucun d’entre eux ne peux servir de clé passe-partout à tous vos verrouillages en ligne. Également, suivez cet ABC :

  • A- Activer une authentification à 2 facteurs – Activez toujours la fonction 2FA. Elle garantit que, même si vos identifiants de connexion sont compromis, le pirate n’a que la moitié de la clé. Le second facteur, comme la saisie d’un code secret sur votre téléphone ou la réponse à une question de sécurité, peut sembler gênant, mais cette petite étape supplémentaire peut avoir une grande importance dès lors qu’il s’agit de vous protéger, vous et vos données.
  • B- Être averti d’une violation– Utilisez un site tel que Avast Hack Check pour vérifier si vos identifiants sont dans la base de données des sites Web piratés et des informations de connexion dérobées. Il vous suffit d’entrer votre adresse de messagerie pour savoir instantanément si elle a été compromise dans une violation de données. Si c’est le cas, changez vos identifiants d’accès à tous les comptes affectés.
  • C- Créer des mots de passe solides– Vérifiez que chaque mot de passe que vous utilisez est non seulement complexe, mais également unique. Évitez d’utiliser un même mot de passe pour plusieurs comptes. En outre, utilisez plusieurs noms d’utilisateur. Plus vous apportez de diversité parmi vos « clés », mieux vous défendez vos portes d’accès verrouillées.

Avast est le leader mondial de la cybersécurité, protégeant des centaines de millions d’utilisateurs dans le monde entier. Protégez tous vos appareils avec notre antivirus gratuit primé.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur Facebook et Twitter.