Contrôleur de compte

Account Checker désigne un type de programme utilisé par les cybercriminels pour accéder illégalement aux comptes de clients en ligne de tiers. Le terme est composé des mots anglais signifiant compte client (account) et vérificateur (checker). Avec un vérificateur de compte, le cybercriminel vérifie si certaines adresses électroniques sont associées à un compte client chez un fournisseur. Dès qu’un tel compte client est trouvé, il lance un processus de credential stuffing. Cela signifie qu’il essaie de deviner le mot de passe approprié pour ce compte client.

Que signifie en détail le terme Account Checker ?

• Les vérificateurs de comptes sont des programmes de piratage relativement simples. Ils peuvent être achetés prêts à l’emploi et sont donc très répandus.
• D’où proviennent les adresses électroniques vérifiées par ces vérificateurs de comptes ? Des cyberincidents au cours desquels des cybercriminels ont, par exemple, récupéré les adresses électroniques des clients d’une boutique en ligne. Souvent, des listes de ces adresses électroniques circulent sur le darknet. En outre, il existe des listes similaires de mots de passe, voire de combinaisons d’adresses électroniques et de mots de passe correspondants pour les comptes clients piratés.
• De nombreux utilisateurs utilisent la même combinaison d’adresse électronique et de mot de passe pour plusieurs de leurs comptes clients. En se basant sur les listes ci-dessus, les cybercriminels tentent de trouver de tels « comptes jumeaux » afin de les utiliser à mauvais escient.

Où est-ce que je rencontre le thème de l’Account Checker dans mon travail quotidien ?

La plupart du temps, il s’agit probablement de mesures prises par les boutiques en ligne et d’autres fournisseurs pour empêcher le succès des vérificateurs de comptes et du bourrage de comptes. Ces mesures comprennent, par exemple, le fait de ne vous autoriser qu’un nombre limité de tentatives de connexion infructueuses. Cela permet aux cybercriminels de n’essayer que quelques mots de passe lors d’une attaque.

Que puis-je faire pour améliorer ma sécurité ?

Les utilisateurs sont soumis aux mêmes mesures de sécurité que celles que vous utilisez pour vous protéger contre le credential stuffing. En bref :

• Changez les mots de passe que vous utilisez depuis un certain temps.
• Utilisez un mot de passe sûr et différent pour chaque compte d’utilisateur.
• Utilisez un gestionnaire de mots de passe si nécessaire.
• Utilisez une authentification à deux facteurs lorsque cela est possible.

En tant que fournisseur d’un site web avec des comptes utilisateurs, vous pouvez renforcer la sécurité de vos clients en prenant les mesures suivantes :

• Limitez le nombre de requêtes et de tentatives de connexion autorisées pour la même IP. Dans l’idéal, ils refusent l’accès à l’IP pendant 12 à 24 heures une fois ce nombre atteint.
• Ne donnez pas aux vérificateurs de comptes une indication sur le fait qu’une adresse électronique est enregistrée chez vous. Faites en sorte que votre masque de connexion ait toujours le même comportement en cas de saisie incorrecte. Il n’est donc pas possible de savoir si seul le mot de passe était inapproprié ou si l’adresse électronique l’était également.
• Même avec l’option de réinitialisation du mot de passe, ne donnez pas d’indication sur le fait que l’adresse électronique en question est connue du système.
• Une réponse neutre pourrait par exemple être la suivante : « Nous allons maintenant vous envoyer un e-mail contenant un lien pour réinitialiser votre mot de passe. Si vous ne recevez pas d’e-mail de notre part dans les prochaines minutes, veuillez vérifier l’adresse e-mail que vous avez saisie et votre dossier de courrier indésirable. En cas de problème, il vous suffit de contacter notre service d’assistance clientèle ».

Notre entrée de glossaire sur le credential stuffing est étroitement liée à cette entrée.