À quelques jours d'intervalle, Kiabi et Showroomprivé ont informé des clients d'une cyberattaque. Pour l'enseigne Kiabi, il s'agit plus particulièrement d'une cyberattaque détectée sur sa plateforme Seconde Main by Kiabi.
En raison de ces cyberattaques, les mots de passe de certains comptes ont été réinitialisés. Si Showroomprivé évoque des tentatives d'intrusion et la validation d'identifiants, mais aucune donnée personnelle compromise, l'alerte est d'un cran supérieur pour Kiabi.
Selon Kiabi, les attaquants ont eu accès aux informations disponibles sur un compte client et les données personnelles suivantes sont citées : nom, prénom, date de naissance, coordonnées, identifiant bancaire IBAN éventuellement renseigné. RIB et pièce d'identité ne sont par contre pas accessibles sur le compte client.
Du credential stuffing
Ces alertes et communiqués sont relayés sur X par le hacker éthique Clément Domingo (@_SaxX). Un point commun est qu'il ne s'agit pas d'un piratage du système d'information. Pour essayer d'obtenir un accès à des comptes, une technique de credential stuffing est pointée du doigt.
Le credential stuffing est une attaque par force brute et fait référence à un bourrage d'identifiants en enchaînant des combinaisons de noms d'utilisateur et de mots de passe. Kiabi et Showroomprivé soulignent à ce titre des identifiants probablement obtenus lors de fuites de données d'autres sites.
Une faille côté client devient alors la réutilisation d'identifiants sur plusieurs sites et services. Sans compter que les fuites de données d'ampleur touchant la France n'ont pas manqué l'année dernière.
Des tentatives à limiter
Pour ESET France, l'expert en cybersécurité Benoît Grunemwald indique que le credential stuffing peut s'appuyer sur des fuites de données parfois anciennes, des listes de mots de passe parmi les plus populaires ou des dictionnaires.
Il ajoute que les entreprises peuvent limiter le succès des tentatives d'accès aux comptes via un nombre maximal d'essais, une authentification à plusieurs facteurs dès la première tentative, des mécanismes de connexion sans mot de passe.
