Credential stuffing
Attaque automatisée qui rejoue des paires identifiant/mot de passe issues de fuites tierces contre des services sans rapport, exploitant la réutilisation pour prendre le contrôle de comptes à grande échelle.
Le credential stuffing est une attaque automatisée de prise de contrôle de comptes (account takeover, ATO) dans laquelle un adversaire rejoue des paires identifiant/mot de passe issues d’une fuite contre d’autres services sans rapport — en pariant qu’une proportion significative d’utilisateurs a réutilisé les mêmes identifiants. Contrairement au brute force, l’attaquant ne devine pas ; il soumet des identifiants dont il sait qu’ils ont fonctionné ailleurs.
Le projet OWASP classe le credential stuffing en OAT-008 dans sa taxonomie des Automated Threats to Web Applications. L’économie de l’attaque est brutale : un taux de succès de 0,1 à 2 % par liste est typique, mais les listes contiennent des centaines de millions de paires (Collection #1 en 2019 comptait 773 millions de combinaisons email/mot de passe uniques ; la « Mother of All Breaches » 2024 agrégeait 26 milliards d’enregistrements). À ce volume, même 0,5 % de succès donne des centaines de milliers de prises de contrôle.
Comment se déroule une opération de credential stuffing de bout en bout :
- Source. Corpus de fuites curés, vendus ou échangés librement — Have I Been Pwned agrège les publics ; l’écosystème underground maintient les siens.
- Infrastructure. Botnets de proxies résidentiels (revendeurs Bright Data, réseaux criminels comme 911.re avant son démantèlement) et services de résolution de CAPTCHA, qui font tourner les IP pour défaire le rate limiting.
- Outillage. OpenBullet, Sentry MBA, Snipr — frameworks d’automatisation qui prennent une « config » décrivant le flux de connexion d’un site cible et y passent les listes.
- Monétisation. Les comptes validés sont revendus par catégorie — streaming, e-commerce, banque, SaaS d’entreprise — ou directement utilisés pour la fraude, l’exfiltration de données ou le mouvement latéral.
Ce qui bloque le credential stuffing :
- La MFA — surtout FIDO2 / passkeys. Un mot de passe correct ne suffit plus.
- Le filtrage contre corpus de fuites à la connexion ou à la définition du mot de passe (l’API Pwned Passwords de Have I Been Pwned est l’implémentation gratuite de référence).
- La détection comportementale. Vélocité, géo-impossibilité, ASN à faible réputation — surtout efficace contre les attaques en volume.
- Les identifiants liés au matériel — voir la consolidation SSO sur un IdP qui impose des facteurs résistants au phishing.
Les défenses traditionnelles contre le brute force (verrouillage de compte, backoff exponentiel) sont largement inopérantes ici : chaque identifiant n’est essayé qu’une fois, contre un seul compte, souvent depuis une IP différente. La surface défensive, c’est le cycle de vie de l’identifiant lui-même, et le comportement utilisateur — la réutilisation — qui l’alimente.
Termes liés
- Réutilisation de mots de passePratique consistant à utiliser le même mot de passe — ou des variantes quasi identiques — sur plusieurs services, transformant une fuite isolée en compromission multi-comptes par credential stuffing.
- Authentification multi-facteur (MFA)Schéma d'authentification exigeant au moins deux facteurs indépendants — ce que l'on sait, possède ou est — pour vérifier un utilisateur et renchérir le vol d'identifiants.
- Single Sign-On (SSO)Architecture d'authentification où un fournisseur d'identité unique émet les jetons donnant accès à de multiples applications, réduisant la surface d'identifiants mais concentrant le rayon d'impact.
- FIDO2 / PasskeysStandards d'authentification ouverts s'appuyant sur la cryptographie asymétrique liée au terminal pour offrir une connexion résistante au phishing — la réponse pratique à la fatigue MFA et au phishing adversary-in-the-middle.
- Hameçonnage (phishing)Attaque d'ingénierie sociale qui usurpe l'identité d'un tiers de confiance pour obtenir des identifiants, de l'argent ou un accès — par e-mail, SMS, voix, QR code ou consentement OAuth.