28 août 2025
La cybersécurité pourrait aussi bien avoir sa propre langue. Il y a tellement d’acronymes, de termes, de paroles que les professionnels de la cybersécurité et les acteurs de menace utilisent tous les deux qu’à moins que vous ne soyez profondément bien informé, que vous ayez une expérience dans le domaine de la sécurité ou que vous ayez un vif intérêt, on ne peut pas savoir. La compréhension de ce que signifient ces acronymes et termes est la première étape pour développer une compréhension approfondie de la cybersécurité et, à son tour, mieux vous protéger, les clients et les employés.
Dans cette série de blogs, nous visons à expliquer et à simplifier certains des termes les plus couramment utilisés. Auparavant, nous avons couvert l’hébergement à l’épreuve des balles, les CVE, les API, les attaques de force brute, les exploits zéro-jour, le doxing, la récolte de données et les IOC. Dans cette édition, nous plongeons dans la farce des références.
Fargage des informations d’identification 101
La farce des informations d’identification, souvent raccourcie en « farce de crédit », est une technique répandue utilisée par les cybercriminels pour tester si les adresses e-mail historiquement exposées et les combinaisons de mots de passe sont des connexions valides sur plusieurs sites Web commerciaux. Les cyber-criminels opportunistes automatisent les tests de grandes «listes de combo» contenant des adresses électroniques compromises et des mots de passe contre des sites Web commerciaux et une fois qu’une authentification réussie se produit vole facilement le PII (informations personnellement identifiables) et les informations financières, souvent enregistrées, sur le profil d’utilisation de la plate-forme de commerce électronique.
Les listes de mots et les listes compromises des combinaisons d’adresse e-mail et de mot de passe sont le fondement des opérations de rembourrage des informations d’identification. De nombreuses fuites de données d’enregistrement de plusieurs millions de millions en circulation sur le DarkNet rendent les combinaisons potentielles de nom d’utilisateur / mot de passe facilement découverte et exploitable à grande échelle. De telles fuites sont utilisées comme entrée pour les scripts et applications de rembourrage des informations d’identification. Les listes de mots sont également en circulation régulière parmi les acteurs de la menace DarkNet, et certains sont déjà intégrés dans les distributions Linux privilégiées par les tests de stylo et les pirates.
Figure 1: Référentiel de github de liste de mots populaire auprès des spécialistes de la sécurité offensive
La farce des informations d’identification utilisant des logiciels et des botneaux malveillants affecte non seulement les individus, mais aussi les organisations commerciales dont les comptes d’utilisateurs sont subrepticement accessibles, car beaucoup supposent immédiatement que l’accès a été réalisé en raison de vulnérabilités avec la configuration technique du fournisseur de services commerciaux au lieu d’une simple technique de bourrage d’identification réalisée en masse. L’incertitude érode potentiellement la confiance des consommateurs et des parties prenantes, garantissant que les agences commerciales envisagent également la farce des diplômes dans leurs cadres de sécurité intérieure et leurs évaluations des risques d’entreprise.
À gauche, nous voyons un exemple de comboliste (une liste d’adresses e-mail et de combinaisons de mots de passe qui peuvent être utilisées dans une tentative de force brute ou des opérations de fourrure d’identification pour obtenir un accès non autorisé aux serveurs et aux services) qui a été divulgué et publié sur un site Darknet. Les bases de données de la récolte de données comprendront souvent des noms d’utilisateur et des mots de passe, Fullz (profils d’identité complète), des dossiers financiers ou des dossiers de santé. Ceux-ci sont tous souvent hautement confidentiels ou sensibles et peuvent causer beaucoup de mal et de maux de tête lorsqu’ils sont affichés sans consentement.
Les campagnes de rembourrage des informations d’identification exploitent la réutilisation de mot de passe et utilisent des combinaisons d’adresse e-mail et de mot de passe pour tenter les connexions en dehors de la source de la fuite d’origine. Bien que vous ne puissiez pas empêcher les services commerciaux de se faire violer et les noms d’utilisateur, les adresses e-mail et les combinaisons de mots de passe divulguées, vous pouvez suivre certaines étapes simples pour vous assurer d’utiliser une hygiène robuste des mots de passe et réduire le risque de mot de passe forcé ou exploité dans une campagne de rembourrage des informations d’identification. Nous passons en revue ces étapes plus tard dans ce blog.
Farce d’identification dans la nature
La face nord
Dans une lettre de préavis des clients en juin, le North Face a révélé que le 23 avril 2025, il a été découvert que les informations des clients avaient été volées dans une attaque de bourrage d’identification. Les informations exposées comprennent des noms complets, des histoires d’achat, des adresses d’expédition, des adresses e-mail, des dates de naissance et des numéros de téléphone.
Les forums de piratage saisis dans «Operation Talent»
En janvier, les forums de piratage ont craqué (.) Io et nullé ( L’opération conjointe concernait les services d’application de la loi des États-Unis, de l’Italie, de l’Espagne, de l’Europe, de la France, de la Grèce, de l’Australie et de la Roumanie. Les sites impactés supplémentaires comprenaient StarkRDP (.) IO, Mysellix (.) IO et Sellix (.) IO. Comme le souligne Cyberscoop, Sellix a permis aux utilisateurs de créer des vitrines pour les produits illicites tandis que StarkRDP – le service d’hébergement de bureau à distance – «aurait été exploité par les acteurs de la menace pour anonymiser les attaques».
La saisie de multiples forums en ligne majeurs liés à la cybercriminalité reflète les efforts internationaux de l’application des lois en cours pour réprimer la cybercriminalité en démantant les infrastructures utilisées pour l’activité illicite. Fissuré (.) Io et nullé (.) À en particulier étaient connus pour héberger une activité cybercriminale, y compris «le vol de mot de passe, la fissuration et les attaques de rembourrage des informations d’identification». Des opérations similaires d’application de la loi à grande échelle ont été observées ces dernières années, notamment le retrait de BreachForums en mai 2024.
La nouvelle plate-forme Atlantis AIO automatise la farce des références sur 140 services
En mars, Bleeping Computer a signalé une nouvelle plate-forme de cybercriminalité appelée «Atlantis AIO» qui automatise des attaques de farcissement des informations d’identification sur plus de 140 services en ligne. Atlantis AIO propose des modules pour les attaques de force brute, le contournement CAPTCHA et la récupération automatisée des comptes. Il cible divers services, notamment le courrier électronique, le commerce électronique, les services bancaires et les VPN. Les comptes compromis sont souvent vendus sur des forums souterrains. Pour se défendre contre de telles attaques, l’article recommande d’utiliser des mots de passe solides et uniques et une authentification multi-facteurs, et pour que les sites Web mettent en œuvre la limitation des taux, les captchas avancés et la surveillance des comportements suspects.
Spotlight de l’acteur: Shinyhunters
Shinyhunters est un groupe cybercriminal connu pour leurs violations de données de haut niveau et leur recherche incessante d’informations sensibles, et a creusé une réputation comme l’un des acteurs les plus prolifiques et les plus dangereux de l’arène de la cybercriminalité. Ils sont connus pour infiltrer les bases de données des entreprises, exfiltrant des informations sensibles, puis vendre ces données sur des forums souterrains ou les utiliser à des fins d’extorsion. Ils n’hésitent pas à partager ces informations sur les sites Web sombres créés pour partager des données exfiltrées. ShinyHunters utilise des techniques de piratage avancées pour obtenir un accès non autorisé aux systèmes d’entreprise. Ils exploitent souvent les vulnérabilités dans les applications Web, s’engagent dans des attaques de bourrage d’identification et utilisent des campagnes de phishing pour voler des informations d’identification de connexion.
Comment éviter d’être exploité dans une campagne de rembourrage des diplômes
Tout le monde peut suivre quelques étapes simples pour vous assurer d’utiliser une hygiène de mot de passe robuste et réduire le risque de mot de passe obtenu par brute ou exploité dans une campagne de rembourrage des informations d’identification.
- Activez l’authentification multi-facteurs (MFA) pour des comptes importants comme les sites financiers et bancaires.
- Utilisez un gestionnaire de mots de passe complexe automatisé comme LastPass, Bitwarden ou 1Password.
- Ne réutilisez pas les mots de passe. Ayez un mot de passe unique pour chaque service de connexion et de streaming pour lequel vous vous inscrivez.
- Choisissez des mots de passe au moins 16 caractères.
- Inclure les symboles et les nombres pour une complexité accrue.
- Évitez d’utiliser des mots de passe avec des mots ou des noms de dictionnaire.
- N’utilisez pas de nombres séquentiels ou le mot «mot de passe»
- N’utilisez pas l’année de votre naissance ou de votre anniversaire dans votre mot de passe.
