Le credential stuffing est une cyberattaque qui consiste à tester massivement des identifiants volés (noms d'utilisateur et mots de passe) sur de nombreux sites web.
Grâce à des bots automatisés, les cybercriminels tentent des millions de connexions en un temps record. Découvrez tout ce qu'il faut savoir sur cette menace et les protections simples pour vous en prémunir.
Le credential stuffing repose sur l'utilisation de vastes bases de données d'identifiants volés, issues de fuites massives diffusées sur le dark web. L'objectif : exploiter ces combinaisons nom d'utilisateur/mot de passe sur d'autres sites pour y accéder illégalement.
Les attaquants misent sur une faille humaine courante : le recyclage de mots de passe. Selon des études, 85 % des utilisateurs réutilisent les mêmes identifiants sur plusieurs comptes.
Cette habitude permet aux cybercriminels de réutiliser des credentials d'un site pour infiltrer d'autres services.
Le taux de succès reste faible (0,1 à 2 %), soit environ 1 000 comptes compromis pour un million de tests. Mais chaque accès réussi donne lieu à un vol de données précieuses : informations bancaires, cartes de crédit, données personnelles (PII) comme numéros de sécurité sociale ou infos fiscales, ouvrant la porte à des fraudes ou usurpations d'identité.
Les cybercriminels monétisent ces données, rendant l'attaque rentable malgré son faible rendement.
Les hackers ne testent pas manuellement des milliards d'identifiants. Ils chargent ces données volées dans des botnets qui automatisent les tentatives de connexion.
Des outils supplémentaires masquent ces attaques. Un botnet peut générer des milliers de tentatives par heure. Par exemple, en 2016, une attaque a lancé plus de 270 000 requêtes par heure sur plusieurs sites.
Les sites déploient des protections contre les connexions frauduleuses, mais les attaquants les contournent.
Ils utilisent des listes de proxies pour simuler des connexions depuis divers emplacements et des émulateurs de navigateurs pour varier les signatures. Ainsi, les tentatives ressemblent à du trafic légitime de milliers d'utilisateurs dispersés, rendant la détection ardue.
Le credential stuffing est une variante ciblée et plus efficace de l'attaque par force brute.
La force brute génère aléatoirement des combinaisons de caractères pour deviner un mot de passe, sans connaissance préalable. Le credential stuffing, lui, réutilise des identifiants réels issus de fuites antérieures.
Des mots de passe forts protègent contre la force brute, mais sont inutiles si réutilisés ailleurs lors d'un credential stuffing.
Le credential dumping cible une machine ou un réseau spécifique pour en extraire les identifiants stockés (via registres ou base SAM).
Contrairement au stuffing, qui teste des leaks externes sur divers sites, le dumping exploite une vulnérabilité interne pour accéder à un réseau entier.
CONNEXION : Qu'est-ce que le vidage des informations d'identification ? Protégez-vous avec ces 4 conseils
Utilisez des mots de passe uniques par site, surtout pour les comptes sensibles (banque, cartes).
Activez l'authentification à deux facteurs (2FA) ou multi-facteurs (MFA) : un code SMS ou app en plus du mot de passe bloque les intrus.
Adoptez un gestionnaire de mots de passe fiable (open source si préféré) pour générer et stocker des credentials complexes sans les mémoriser.
Votre mot de passe est la clé de vos comptes : unique, robuste et bien gardé. Utilisez des outils pour créer des mots de passe mémorables mais indéchiffrables.
[]