Combo lists et credential stuffing : comprendre et se protéger contre ces attaques
Une combo list est un fichier contenant des millions de couples email/mot de passe issus de brèches de données, de logs d’infostealers ou de fuites agrégées depuis plusieurs sources. Ces listes alimentent les attaques de credential stuffing, une technique qui consiste à tester automatiquement ces identifiants sur des centaines de services en ligne pour identifier les comptes où les utilisateurs réutilisent le même mot de passe.
Le credential stuffing est devenu l’une des attaques les plus répandues et les plus rentables pour les cybercriminels. Selon un rapport d’Akamai, plus de 193 milliards de tentatives de credential stuffing ont été enregistrées en une seule année, ciblant tous les secteurs d’activité. La simplicité d’exécution et le coût quasi nul de ces attaques en font une menace persistante pour toute organisation présente en ligne.
Qu’est-ce qu’une combo list exactement ?
Une combo list, contraction de “combination list”, est un fichier texte structuré qui contient des paires d’identifiants au format email:mot_de_passe ou utilisateur:mot_de_passe, à raison d’une paire par ligne. Ces fichiers peuvent contenir de quelques milliers à plusieurs milliards d’entrées, selon leur origine et leur ancienneté.
Les combo lists proviennent de plusieurs sources distinctes. La première est l’agrégation de brèches de données : lorsqu’un site web est piraté et que sa base d’utilisateurs est exfiltrée, les identifiants rejoignent le circuit de revente du dark web. Au fil du temps, des opérateurs criminels compilent les données de centaines de brèches différentes en une seule mega combo list. La collection “COMB” (Compilation of Many Breaches) découverte en 2021 contenait 3,2 milliards de paires email/mot de passe uniques.
La deuxième source, de plus en plus dominante, est constituée par les logs d’infostealers. Les malwares comme RedLine, Raccoon et LummaC2 volent les identifiants directement depuis les navigateurs des victimes. Ces identifiants sont ensuite compilés en combo lists par domaine cible ou par type de service. Contrairement aux brèches de données classiques, ces combo lists contiennent des mots de passe actuels et en clair, ce qui les rend particulièrement dangereuses.
La troisième source provient du phishing et de l’ingénierie sociale. Les campagnes de phishing à grande échelle collectent directement les identifiants des victimes via de fausses pages de connexion. Ces données sont aussi regroupées en combo lists et revendues sur les marketplaces du dark web.
Comment fonctionne une attaque de credential stuffing ?
Le credential stuffing exploite un comportement humain bien documenté : la réutilisation des mots de passe. Selon une étude de Google, 65 % des internautes utilisent le même mot de passe pour plusieurs comptes, voire tous leurs comptes. Les attaquants le savent et en tirent parti de manière systématique et automatisée.
Le processus d’une attaque de credential stuffing se déroule en quatre étapes. Premièrement, l’attaquant acquiert une combo list sur le dark web, via un forum cybercriminel ou un canal Telegram spécialisé. Le prix varie de quelques dollars pour une liste ancienne à plusieurs centaines de dollars pour des données fraîches issues de logs de stealers.
Deuxièmement, l’attaquant configure un outil de credential stuffing (comme OpenBullet, SentryMBA ou des scripts personnalisés). Ces outils automatisent les tentatives de connexion en masse, en utilisant des proxies résidentiels pour contourner les limitations de débit et les blocages d’adresses IP. Certains outils intègrent des solveurs de CAPTCHA automatiques pour contourner cette mesure de protection.
Troisièmement, l’outil teste chaque couple email/mot de passe de la combo list contre un ou plusieurs services cibles. Les cibles les plus fréquentes sont les plateformes de streaming (Netflix, Spotify, Disney+), les services de commerce en ligne (Amazon, Zalando), les plateformes de gaming et les services financiers. Un taux de succès typique se situe entre 0,1 % et 2 %, mais sur des millions de tentatives, cela représente des milliers de comptes compromis.
Quatrièmement, les comptes compromis sont soit exploités directement (achats frauduleux, vol de données), soit revendus sur des marketplaces spécialisées. Un compte Netflix valide se vend entre 2 et 5 dollars, un compte bancaire entre 20 et 200 dollars selon le solde.
Quelle est l’ampleur réelle du problème ?
Les chiffres du credential stuffing donnent le vertige et illustrent l’échelle industrielle de cette menace. Ce n’est pas un risque théorique mais une réalité quotidienne qui touche des millions d’utilisateurs et d’entreprises chaque jour, tous secteurs confondus.
Selon le rapport Verizon DBIR 2025, l’utilisation d’identifiants volés est le vecteur initial dans 44 % des brèches de données analysées. Ce chiffre en fait la méthode d’attaque la plus courante, devant le phishing et l’exploitation de vulnérabilités. Okta rapporte que 34 % de toutes les tentatives de connexion sur sa plateforme sont des attaques de credential stuffing, un volume qui ne cesse de croître d’année en année.
Le coût pour les entreprises est considérable. Selon le Ponemon Institute, les grandes organisations dépensent en moyenne 6 millions de dollars par an pour gérer les conséquences du credential stuffing : réinitialisations de mots de passe, investigations, pertes de revenus et atteinte à la réputation. Pour les PME, un seul incident peut entraîner la perte de clients et des amendes réglementaires au titre du RGPD si des données personnelles sont compromises.
Les combo lists elles-mêmes sont en croissance exponentielle. L’écosystème des infostealers produit quotidiennement des millions de nouveaux identifiants qui viennent enrichir les combo lists existantes. La plateforme Stealed ingère et analyse plus de 100 millions de lignes de données chaque jour, illustrant le volume colossal de données compromises en circulation.
Comment protéger votre organisation contre le credential stuffing ?
La protection contre le credential stuffing repose sur une défense en profondeur combinant mesures techniques, politiques organisationnelles et surveillance active. Aucune mesure isolée n’est suffisante, car les attaquants adaptent constamment leurs techniques pour contourner les protections individuelles.
Authentification multifacteur (MFA) : c’est la mesure la plus efficace contre le credential stuffing. Même si un attaquant possède le bon mot de passe, il ne peut pas se connecter sans le second facteur. Microsoft estime que le MFA bloque 99,9 % des attaques automatisées. Privilégiez les méthodes FIDO2 ou les applications d’authentification plutôt que les SMS, vulnérables au SIM swapping.
Politiques de mots de passe robustes : imposez des mots de passe uniques et complexes. Mieux encore, déployez un gestionnaire de mots de passe d’entreprise (Bitwarden, 1Password Business) pour que chaque collaborateur utilise un mot de passe unique par service. Intégrez une vérification contre les bases de mots de passe compromis (NIST SP 800-63B recommande cette pratique).
Limitation de débit et détection d’anomalies : implémentez un rate limiting intelligent sur vos points d’authentification. Détectez les patterns anormaux : tentatives multiples depuis la même IP, connexions depuis des géolocalisations inhabituelles, volume anormal de connexions échouées. Les WAF modernes (Cloudflare, AWS WAF) proposent des règles spécifiques anti-credential stuffing.
CAPTCHA adaptatif : déployez des CAPTCHAs sur vos pages de connexion, avec une difficulté qui augmente en fonction du comportement suspect. Les solutions comme hCaptcha ou Cloudflare Turnstile offrent un bon équilibre entre sécurité et expérience utilisateur.
Comment Stealed surveille-t-il les combo lists ?
Stealed surveille en continu les sources où les combo lists sont publiées et échangées. Cette surveillance couvre les canaux Telegram privés spécialisés dans le partage de logs d’infostealers, les forums cybercriminels et les marketplaces du dark web. Chaque combo list détectée est analysée, indexée et croisée avec les domaines surveillés par les clients.
Lorsqu’un identifiant correspondant à l’un de vos domaines est trouvé dans une combo list ou un log d’infostealer, Stealed déclenche une alerte en temps réel. L’alerte contient toutes les informations nécessaires pour une réponse immédiate : l’adresse email compromise, le mot de passe en clair, l’URL du service ciblé et, lorsque la source est un log de stealer, les informations de la machine infectée (adresse IP, pays, identifiant matériel).
Cette surveillance proactive change fondamentalement la dynamique de défense. Au lieu de découvrir qu’un identifiant a été compromis après une tentative de connexion frauduleuse ou un incident de sécurité, vous êtes alerté dès que la donnée apparaît dans l’écosystème criminel. Cela vous donne une fenêtre d’action pour réinitialiser le mot de passe et sécuriser le compte avant qu’un attaquant ne l’exploite.
Pour aller plus loin
- Qu’est-ce qu’un infostealer ? : comprendre les malwares qui alimentent les combo lists avec des identifiants volés en temps réel
- Comment détecter une fuite d’identifiants : guide pratique pour mettre en place une surveillance continue de vos domaines
Créez votre compte Stealed gratuitement pour surveiller vos domaines et recevoir des alertes dès qu’un identifiant de votre organisation apparaît dans une combo list ou un log d’infostealer. La détection en amont est votre meilleure défense contre le credential stuffing.
Co-fondateur & CEO
CEO et co-fondateur de Stealed, Jason apporte sa vision business et son expertise en sécurité offensive pour orienter la stratégie de détection des menaces.
Protégez vos identifiants avec Stealed
Détectez les fuites de vos identifiants en temps réel. Échangeons sur vos besoins lors d'une démo.
Réserver une démo