{"id":32700,"date":"2020-05-06T15:23:43","date_gmt":"2020-05-06T13:23:43","guid":{"rendered":"https:\/\/www.le-vpn.com\/fr\/?p=32700"},"modified":"2021-03-10T22:40:31","modified_gmt":"2021-03-10T20:40:31","slug":"credentials-stuffing","status":"publish","type":"post","link":"https:\/\/www.le-vpn.com\/fr\/credentials-stuffing\/","title":{"rendered":"Credentials stuffing : premi\u00e8res victimes chez certains fournisseurs VPN"},"content":{"rendered":"

Avant-propos<\/h3>\n

Nous esp\u00e9rons que les informations partag\u00e9es dans cet article seront utiles aux fournisseurs de services VPN et aux autres services en ligne. Nous avons fait en sorte de le compl\u00e9ter avec le plus de d\u00e9tails possibles afin de fournir une meilleure vue d\u2019ensemble de la question. Si vous avez \u00e9t\u00e9 la cible de ce type d\u2019attaque de credentials stuffing et avez besoin de conseils, n\u2019h\u00e9sitez pas \u00e0 nous contacter. Nous sommes \u00e0 votre disposition pour partager nos connaissances avec vous.<\/p>\n

Introduction<\/h3>\n

Par le pass\u00e9, Le VPN a \u00e9t\u00e9 la cible d\u2019innombrables attaques DDoS. Mais il y a quelques semaines, nous avons remarqu\u00e9 quelque chose de diff\u00e9rent et d\u2019in\u00e9dit.<\/p>\n

Un botnet, qui vise g\u00e9n\u00e9ralement notre syst\u00e8me de gestion client, a d\u00e9sormais chang\u00e9 de strat\u00e9gie pour se concentrer sur notre API. En y regardant de plus pr\u00e8s, nous nous sommes aper\u00e7us qu\u2019il s\u2019agissait de \u00ab\u2009credentials stuffing\u2009\u00bb, c\u2019est-\u00e0-dire quelqu\u2019un qui utilise une collection d\u2019identifiants pr\u00e9c\u00e9demment d\u00e9rob\u00e9s pour les essayer sur notre base d\u2019utilisateurs.<\/p>\n

Le VPN est largement insensible \u00e0 ce type d\u2019attaque,<\/u><\/strong> car nous g\u00e9n\u00e9rons un identifiant unique pour chaque nouvel utilisateur.<\/p>\n

La seule exception concerne une fraction de nos utilisateurs qui ont migr\u00e9 vers Le VPN<\/a> depuis un autre fournisseur.<\/p>\n

Cela illustre l\u2019importance d\u2019utiliser des mots de passe diff\u00e9rents, tant pour les particuliers qui acc\u00e8dent \u00e0 plusieurs sites et services en ligne, que pour les entreprises qui doivent mettre en place des mesures de protection de leurs mots de passe.<\/p>\n

D\u00e9tection de l\u2019attaque<\/h2>\n

Les demandes \u00e9mises par ce botnet \u00e9taient facilement identifiables, nous les avons donc s\u00e9par\u00e9es des demandes d\u2019API authentiques. Plut\u00f4t que de transiter par des algorithmes API, les requ\u00eates malveillantes recevaient ainsi un message d\u2019erreur standard et \u00e9taient enregistr\u00e9es dans des journaux pour une analyse ult\u00e9rieure.<\/p>\n

Nous avons rigoureusement v\u00e9rifi\u00e9 qu\u2019aucun de nos clients ne fut affect\u00e9<\/u><\/strong> et que ces attaques ne constituaient pas de danger pour notre syst\u00e8me.<\/p>\n

Nous avons donc d\u00e9cid\u00e9 de laisser faire le botnet pendant quelques jours afin de recueillir davantage de donn\u00e9es.<\/p>\n

L\u2019attaque a dur\u00e9 quelques jours \u00e0 un rythme identique, et il est maintenant temps de faire progresser l\u2019enqu\u00eate.<\/p>\n

Nous souhaitons vous pr\u00e9senter nos observations ci-dessous.<\/p>\n

\"Credentials<\/p>\n

Botnet<\/h3>\n

Le botnet utilis\u00e9 pour cette attaque \u00e9tait relativement petit – environ 40\u2009000 \u00e0 45\u2009000 bots au total<\/strong>.\u00a0 Le nombre de bots actifs simultan\u00e9ment \u00e9tait encore plus faible, g\u00e9n\u00e9ralement moins de 10\u2009000<\/strong>.<\/p>\n

Selon nos donn\u00e9es, le m\u00eame botnet a \u00e9t\u00e9 employ\u00e9 tout au long de l\u2019attaque.<\/p>\n

Les adresses IP de ces bots \u00e9taient principalement localis\u00e9es en Chine (75\u00a0%), en Indon\u00e9sie (4\u00a0%), en Tha\u00eflande (4\u00a0%) et au Br\u00e9sil (4\u00a0%), tandis qu\u2019une infime partie provenait d\u2019autres pays. La majorit\u00e9 des bots chinois avaient des IP de Chinanet et de China Unicom.<\/p>\n

\"Credentials<\/p>\n

Rythme de l\u2019attaque<\/h3>\n

Nous avons d\u00e9cid\u00e9 de mesurer la fr\u00e9quence d\u2019attaque du botnet. Nous avons donc d\u00e9sactiv\u00e9 toutes les r\u00e8gles de limitation de d\u00e9bit et de filtrage du trafic sur notre syst\u00e8me, et commenc\u00e9 \u00e0 absorber toutes les demandes du botnet.<\/p>\n

Ainsi, le botnet a attaqu\u00e9 au rythme d\u2019environ 3 requ\u00eates par bot et par heure<\/strong>. Cela ne change pas vraiment de la fr\u00e9quence qu\u2019avait l\u2019attaque quand toutes nos d\u00e9fenses \u00e9taient actives.<\/p>\n

Nous pensons donc que cette cadence a \u00e9t\u00e9 r\u00e9duite intentionnellement<\/strong>, afin de ne pas d\u00e9clencher nos d\u00e9fenses ce qui aurait pu entrainer un ban des adresses IP des machines du botnet. N\u00e9anmoins, nous pensons que cette fr\u00e9quence peut varier en fonction des d\u00e9fenses de la cible.<\/p>\n

Selon nos estimations, un attaquant avec un botnet d\u2019une telle taille peut effectuer environ 500\u00a0000 v\u00e9rifications d\u2019identifiants par jour.<\/p>\n

Nombre de requ\u00eates par identifiant<\/h3>\n

Une autre constatation int\u00e9ressante est le nombre de requ\u00eates par identifiant. La majorit\u00e9 des couples nom d\u2019utilisateur\/mot de passe n\u2019ont \u00e9t\u00e9 essay\u00e9s qu\u2019une seule fois<\/strong>, seule une petite portion ayant \u00e9t\u00e9 test\u00e9e deux fois. Cela peut indiquer que les essais sont g\u00e9r\u00e9s de mani\u00e8re centralis\u00e9e et probablement synchronis\u00e9es.<\/p>\n

La source des identifiants vol\u00e9s<\/h2>\n

Un autre aspect de l\u2019enqu\u00eate consistait \u00e0 identifier la source de ces fuites. Nous avons s\u00e9lectionn\u00e9 un \u00e9chantillon repr\u00e9sentatif des identifiants utilis\u00e9s dans cette attaque et nous les avons soigneusement analys\u00e9s. La quasi-totalit\u00e9 d\u2019entre eux est pr\u00e9sente dans la \u00ab\u2009Collection\u2009\u00bb <\/strong>(https:\/\/en.wikipedia.org\/wiki\/Collection_No._1<\/a>), ce qui nous laisse penser qu\u2019il s\u2019agit de la principale source de ces donn\u00e9es.<\/p>\n

Cependant, nous estimons qu\u2019une attaque utilise de 10 \u00e0 15 millions d\u2019identifiants<\/strong>, et non la \u00ab\u2009Collection\u2009\u00bb dans son ensemble.<\/p>\n

Nous estimons que le temps total n\u00e9cessaire pour mener \u00e0 bien cette attaque avec cette fr\u00e9quence et avec la taille du dictionnaire mentionn\u00e9s ci-dessus est de 20 \u00e0 30 jours<\/strong> environ.<\/p>\n

Qui est derri\u00e8re tout cela\u2009?<\/h3>\n

Nous avons voulu aller plus loin et recueillir davantage de donn\u00e9es sur notre agresseur. Nous avons donc configur\u00e9 notre API pour qu\u2019elle renvoi, de mani\u00e8re al\u00e9atoire, une r\u00e9ponse positive \u00e0 certaines requ\u00eates. Cette approche a g\u00e9n\u00e9r\u00e9 une liste de faux identifiants<\/strong>, que les cybercriminels peuvent tenter de distribuer ou d\u2019utiliser sur nos serveurs AAA.<\/p>\n

L\u2019objectif \u00e9tait de voir o\u00f9 cette liste apparaitrait et d\u2019ainsi pouvoir faire le lien. D\u00e8s cette ruse d\u00e9ploy\u00e9e, nous avons commenc\u00e9 \u00e0 surveiller le Web.<\/p>\n

R\u00e9sultats inattendus<\/h3>\n

Les r\u00e9sultats ont \u00e9t\u00e9 rapides et surprenants.<\/p>\n

Nous avons trouv\u00e9 plus de 1\u2009000 identifiants VPN<\/strong> cens\u00e9s \u00eatre li\u00e9s \u00e0 l\u2019un des grands fournisseurs de VPN. Certains ont \u00e9t\u00e9 publi\u00e9s fin avril et d\u2019autres d\u00e9but mai 2020. Toutes ces fuites ont \u00e9t\u00e9 diffus\u00e9es publiquement et gratuitement<\/strong> dans une communaut\u00e9 en ligne reli\u00e9e \u00e0 l\u2019Iran.<\/p>\n

Nous avons imm\u00e9diatement soumis nos conclusions au fournisseur de VPN concern\u00e9 et avons demand\u00e9 \u00e0 son assistance technique d\u2019informer l\u2019\u00e9quipe de cybers\u00e9curit\u00e9 de cet incident dans les plus brefs d\u00e9lais. Nous sommes toujours dans l\u2019attente de leur r\u00e9action.<\/p>\n

La m\u00eame attaque\u2009de credentials stuffing ?<\/h3>\n

Apr\u00e8s avoir averti le fournisseur, nous avons poursuivi l\u2019analyse des donn\u00e9es qui ont fait l\u2019objet d\u2019une fuite.<\/p>\n

Nous avons consult\u00e9 les identifiants expos\u00e9s et avons \u00e9t\u00e9 surpris de constater que la plupart d\u2019entre eux \u00e9taient pr\u00e9sents dans la \u00ab\u2009Collection\u2009\u00bb mentionn\u00e9e ci-dessus<\/strong>, la m\u00eame source d\u2019identifiants pirat\u00e9s utilis\u00e9e contre notre API.<\/p>\n

Certains \u00e9l\u00e9ments \u00e9taient pr\u00e9sents dans d\u2019autres listes d\u2019identifiants vol\u00e9s. Mais quoi qu\u2019il en soit, tous les identifiants que nous avons test\u00e9s se trouvaient dans un ensemble de donn\u00e9es vol\u00e9es ou dans un autre.<\/p>\n

De plus, l\u2019une des listes d\u2019identifiants VPN contenait une date et une heure d\u2019expiration avec les minutes et secondes exactes, ce qui ressemble \u00e0 la r\u00e9ponse d\u2019une API.<\/p>\n

\"Credentials<\/p>\n

Il est impossible de recenser le nombre total d\u2019identifiants compromis, car de nouvelles listes continuent d\u2019appara\u00eetre de fa\u00e7on r\u00e9guli\u00e8re.<\/p>\n

Comment tout cela s\u2019est-il termin\u00e9\u2009? (Pour l\u2019instant…)<\/h3>\n

Chez Le VPN, nous prenons la s\u00e9curit\u00e9 au s\u00e9rieux, et \u00e0 chaque attaque, nous nous pr\u00e9parons donc au pire.<\/p>\n

Le botnet qui nous a frapp\u00e9s \u00e9tait relativement petit. Nous avons donc cherch\u00e9 \u00e0 simuler notre r\u00e9ponse pour un sc\u00e9nario qui impliquerait un botnet beaucoup plus important.<\/p>\n

Cela signifie couper toute connexion avec le botnet d\u00e8s que nous l\u2019avions identifi\u00e9. Dans ce sc\u00e9nario, les agresseurs ne re\u00e7oivent aucune r\u00e9ponse de notre API et la charge sur nos serveurs API est donc r\u00e9duite au minimum.<\/p>\n

Peu apr\u00e8s avoir commenc\u00e9 \u00e0 mettre en place cette solution, un pirate a d\u00e9cid\u00e9 d\u2019interrompe toute nouvelle attaque par credentials stuffing et a tent\u00e9 un ultime DDoS, court et infructueux, sur notre frontend. Depuis lors, les attaques ne se sont plus reproduites.<\/p>\n

Remarques finales<\/h3>\n

De nombreuses questions restent encore sans r\u00e9ponses.<\/p>\n

M\u00eame si l\u2019origine du botnet en lui-m\u00eame se situe tr\u00e8s probablement en Chine, le groupe ou l\u2019individu qui l\u2019a lou\u00e9 pourrait se trouver au Moyen-Orient.<\/p>\n

Nous ne savons pas si le m\u00eame auteur attaque plusieurs services VPN ou s\u2019il s\u2019agit d\u2019une nouvelle tendance adopt\u00e9e par diff\u00e9rents groupes.<\/p>\n

Nous pensons que les comptes d\u00e9rob\u00e9s pourraient \u00eatre distribu\u00e9s dans des pays comme l\u2019Iran, o\u00f9 le degr\u00e9 de censure est important et o\u00f9 les services VPN ne sont g\u00e9n\u00e9ralement pas disponibles en raison des restrictions internationales.<\/p>\n

Pour ce type d\u2019attaque, les services VPN avec les plus grandes bases d\u2019utilisateurs constituent la cible la plus facile, car le nombre de clients actifs augmente la probabilit\u00e9 de trouver des identifiants pirat\u00e9s. De plus, il est plus facile de dissimuler l\u2019activit\u00e9 du botnet derri\u00e8re un plus grand nombre de requ\u00eates \u00e0 l\u2019API.<\/p>\n

Nous attendons toujours que le service VPN dont les comptes ont \u00e9t\u00e9 expos\u00e9s prenne des mesures. Si aucune action n\u2019est entreprise, nous essaierons d\u2019en informer nous-m\u00eames les utilisateurs concern\u00e9s.<\/p>\n

Nous mettrons \u00e0 jour cet article si nous avons de plus amples d\u00e9tails \u00e0 ce sujet.<\/p>\n[vc_row][vc_column]

\"exclusive-deal\"<\/i><\/div><\/div>

OFFRE EXCLUSIVE<\/h3>
<\/span><\/div>
<\/span><\/div><\/div><\/div>

LES 3 PREMIÈRES ANNÉES À 2,22 €\/MOIS<\/p>\n<\/div><\/div>

PROFITEZ EN<\/span><\/div>
<\/div><\/a><\/div><\/div>
\n\t
\n\t\t
\n\t\t\t

\n\t\t
\n\t\t\t

\n\t
\n\t\t
\n\t\t\t

\n\t\t
\n\t\t\t

\n\t
\n\t\t
\n\t\t\t

\n\t\t
\n\t\t\t

\n\t
\n\t\t
\n\t\t\t

\n\t\t
\n\t\t\t

<\/div><\/div><\/div><\/div>\r\n<\/div>[\/vc_column][\/vc_row]<\/div>","protected":false},"excerpt":{"rendered":"

Avant-propos Nous esp\u00e9rons que les informations partag\u00e9es dans cet article seront utiles aux fournisseurs de services VPN et aux autres services en ligne. Nous avons fait en sorte de le compl\u00e9ter avec le plus de d\u00e9tails possibles afin de fournir une meilleure vue d\u2019ensemble de la question. Si vous avez \u00e9t\u00e9 la cible de ce<\/p>\n","protected":false},"author":17,"featured_media":32704,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_metadesc":"Le VPN note une hausse des attaques par Credentials Stuffing ciblant certains VPN ainsi qu'une fuite de 1000+ identifiants de l'un d'entre eux.","footnotes":""},"categories":[833,3781],"tags":[],"yst_prominent_words":[1745,7543,2638,7539,7550,1907,1072,4738,7548,2754,1523,7546,7545,4767,7547,1490,7338,3480,7538,1565],"class_list":["post-32700","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog_old","category-top-stories"],"_links":{"self":[{"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/posts\/32700","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/users\/17"}],"replies":[{"embeddable":true,"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/comments?post=32700"}],"version-history":[{"count":1,"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/posts\/32700\/revisions"}],"predecessor-version":[{"id":32705,"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/posts\/32700\/revisions\/32705"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/media\/32704"}],"wp:attachment":[{"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/media?parent=32700"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/categories?post=32700"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/tags?post=32700"},{"taxonomy":"yst_prominent_words","embeddable":true,"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/yst_prominent_words?post=32700"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}